前言：本站為你精心整理了企業(yè)人員信息安全管理探討范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢(xún)。

1信息安全事件回顧

2013年中國(guó)網(wǎng)民遇到的各種安全問(wèn)題的整體發(fā)生率如圖1所示。與2012年相比，2013年個(gè)人信息泄漏的比例有大幅的上升。從上圖也可看出，雖然個(gè)人信息泄漏被作為一個(gè)單獨(dú)項(xiàng)進(jìn)行統(tǒng)計(jì)，但排在前三位的安全事件也是由個(gè)人信息的泄漏造成的。所以，綜合來(lái)看，個(gè)人的信息泄漏事件不容小覷。在這些事件的背后我們看到的是人員信息安全意識(shí)的缺失，企業(yè)信息安全管理的不足。為了幫助企業(yè)和個(gè)人提高信息安全意識(shí)水平，2012年底某IT企業(yè)了《2012年度中國(guó)企業(yè)員工信息安全意識(shí)調(diào)查報(bào)告》，經(jīng)過(guò)對(duì)被調(diào)查企業(yè)的管理層人員及普通員工的大量數(shù)據(jù)分析和統(tǒng)計(jì)，參與本次接受調(diào)查訪問(wèn)者的信息安全意識(shí)評(píng)價(jià)平均得分為77.48分。其中，受訪者在移動(dòng)存儲(chǔ)介質(zhì)安全方面的得分最高，為96.1分；在社會(huì)工程學(xué)信息安全方面的得分最低，為49.6分。因此，中國(guó)企業(yè)的信息安全意識(shí)依然有較大的提升空間。很多企業(yè)為保障企業(yè)數(shù)據(jù)信息安全，不惜花巨資投資購(gòu)進(jìn)防火墻、入侵檢測(cè)、防病毒等網(wǎng)絡(luò)安全產(chǎn)品。然而，企業(yè)內(nèi)的安全事件遠(yuǎn)比管理者的預(yù)想更為復(fù)雜、更為寬泛，人員的誤操作或無(wú)作為也會(huì)使這些工具失去其應(yīng)有的作用。只有提高人員的安全意識(shí)和技能，才能真正使企業(yè)的信息安全設(shè)備發(fā)揮應(yīng)有的作用。

2目前企業(yè)人員的信息安全管理主要存在的問(wèn)題

（1）全體工作人員的信息安全意識(shí)不高；

（2）信息安全專(zhuān)業(yè)人員數(shù)量較少，工作流程不清晰；

（3）信息安全崗位職責(zé)劃分模糊；

（4）管理層不重視；

（5）信息安全管理工作缺乏有效的考核和監(jiān)管機(jī)制。上述幾個(gè)問(wèn)題看似不會(huì)影響正常的企業(yè)運(yùn)作，但長(zhǎng)期持續(xù)則會(huì)給企業(yè)的信息安全帶來(lái)巨大的隱患，存在較高的風(fēng)險(xiǎn)。有調(diào)查顯示，企業(yè)的信息泄漏事件70%-80%都由內(nèi)部人員造成。對(duì)于一些關(guān)系國(guó)計(jì)民生的企業(yè)，如電力、通信等，企業(yè)的信息一旦泄漏，將會(huì)產(chǎn)生巨大的社會(huì)影響，同時(shí)也會(huì)給企業(yè)造成巨大的損失。但是我們?nèi)匀豢梢酝ㄟ^(guò)對(duì)知悉或掌握企業(yè)核心涉密資產(chǎn)和數(shù)據(jù)的人員加強(qiáng)信息安全管理與監(jiān)督，來(lái)提高信息安全整體水平。

3加強(qiáng)人員信息安全管理的具體措施

對(duì)于企業(yè)人員的安全管理措施有很多，國(guó)內(nèi)外的相關(guān)標(biāo)準(zhǔn)中都有相應(yīng)的描述，如《薩班斯法案》《信息安全技術(shù)信息系統(tǒng)安全管理要求》ISO27000系列等，不同的標(biāo)準(zhǔn)要求亦有不同，但總體來(lái)說(shuō)不外乎以下幾點(diǎn)。

（1）加強(qiáng)人員的信息安全保密意識(shí)與責(zé)任。任何企業(yè)的信息安全與保密都離不開(kāi)人，信息安全每個(gè)步驟的操作與執(zhí)行都是由人來(lái)完成與實(shí)現(xiàn)的。如果企業(yè)內(nèi)相關(guān)人員的信息安全與保密意識(shí)薄弱，不小心造成某些敏感信息泄露，則比其他安全不足問(wèn)題導(dǎo)致的損失更大。因此必須要不斷對(duì)相關(guān)崗位人員的信息安全意識(shí)、責(zé)任和職業(yè)道德進(jìn)行培訓(xùn)、指導(dǎo)與監(jiān)督。

（2）管理層重視。企業(yè)人員的信息安全管理是管理層的職責(zé)，所有的措施和方法都需要得到管理層的支持才能實(shí)施，否則再完美的方法也是毫無(wú)意義的。隨著各類(lèi)信息安全事件的曝光，信息泄漏事件的頻發(fā)，特別是國(guó)家推行信息系統(tǒng)的等級(jí)保護(hù)政策以后，越來(lái)越多的管理層開(kāi)始重視信息安全問(wèn)題。

（3）明確本單位的核心信息安全資產(chǎn)。我們要對(duì)企業(yè)的核心信息安全資產(chǎn)加強(qiáng)保護(hù)，即主要是對(duì)企業(yè)內(nèi)部最核心的信息資產(chǎn)進(jìn)行有效的保護(hù)，這對(duì)企業(yè)的信息安全尤為重要且非常有效。任何一個(gè)企業(yè)的資源都有限，信息安全工作相對(duì)于業(yè)務(wù)工作的投入來(lái)說(shuō)一定較小一些，因此對(duì)核心的信息資產(chǎn)保護(hù)才是企業(yè)真正關(guān)心的內(nèi)容和工作。核心信息資產(chǎn)主要指價(jià)值比較高，一旦泄露可能會(huì)對(duì)企業(yè)造成比較大損失的資產(chǎn)，如企業(yè)的重要或敏感數(shù)據(jù)、存有重要敏感數(shù)據(jù)的紙質(zhì)和電子類(lèi)的載體等企業(yè)的核心資產(chǎn)。明確核心資產(chǎn)信息安全也是對(duì)人員進(jìn)行職責(zé)劃分的基礎(chǔ)。

（4）清楚劃分人員職責(zé)，嚴(yán)格進(jìn)行權(quán)限分離。人員職責(zé)和權(quán)限對(duì)應(yīng)組織的信息資產(chǎn)，一定程度上也決定了該人員在組織中的安全地位，職責(zé)不明確往往導(dǎo)致人員的無(wú)作為或誤操作，很多的信息安全隱患無(wú)法消除。如果明確了單位的核心資產(chǎn)，而人員的職責(zé)劃分不清晰，那也等于是無(wú)用功。很多單位由于信息安全人員數(shù)量有限，存在一人多崗的情況，很多核心的敏感的信息或功能掌握在一個(gè)人的手中，這就使得某個(gè)人或某幾個(gè)人的權(quán)限過(guò)大，導(dǎo)致內(nèi)部舞弊的風(fēng)險(xiǎn)增加。因此，首先要明確本單位需要設(shè)置的信息技術(shù)類(lèi)崗位，并設(shè)置相應(yīng)的人員，確保人員的配備遵循三權(quán)分離的原則，敏感的功能或較高的權(quán)限不能放在一個(gè)人手上，關(guān)鍵性的操作甚至需要多人同時(shí)在場(chǎng)，只有這樣才能最大限度地避免人員的內(nèi)部舞弊。

（5）嚴(yán)格選拔新進(jìn)人員，考核在崗人員，審查離崗人員。選拔人員是人員信息安全管理的第一步，對(duì)人員進(jìn)行嚴(yán)格的背景審查和技能考核是保障企業(yè)信息安全人員執(zhí)業(yè)技能和職業(yè)道德的重要措施。重要敏感崗位的人員應(yīng)盡量從內(nèi)部進(jìn)行選拔，避免直接任用外聘的人員；對(duì)于在崗的信息安全人員應(yīng)定期進(jìn)行考核和檢查，保證所有的工作都按正常的操作規(guī)程執(zhí)行，避免簡(jiǎn)化流程的事情發(fā)生；對(duì)于離崗的人員應(yīng)與之簽訂相關(guān)的協(xié)議說(shuō)明，并立即更換其所掌握的關(guān)鍵認(rèn)證信息，避免由于人員的流失導(dǎo)致信息的泄漏。

（6）建立信息安全管理工作的日常監(jiān)管和考核機(jī)制。信息安全管理執(zhí)行的主體是人，人的操作難免會(huì)有失誤或不當(dāng)?shù)牡胤?，這些都是信息安全的風(fēng)險(xiǎn)隱患。所以應(yīng)對(duì)人員的日常工作需建立考核和監(jiān)管機(jī)制，對(duì)人員的日常安全管理工作進(jìn)行監(jiān)督并提前發(fā)現(xiàn)潛在風(fēng)險(xiǎn)，及時(shí)消除隱患，降低由于人員操作不當(dāng)或惡意操作帶來(lái)的信息安全風(fēng)險(xiǎn)。

4結(jié)語(yǔ)

企業(yè)信息安全是技術(shù)安全和管理安全相互作用的結(jié)果，而人員的安全是整體安全的第一步。只有保障了人員的絕對(duì)安全，才能在技術(shù)安全與管理安全中找到符合企業(yè)自身的信息安全定位，真正讓企業(yè)的信息安全措施為企業(yè)業(yè)務(wù)保駕護(hù)航。

作者：王雷單位：江蘇國(guó)瑞信安科技有限公司