| 企业信息安全管理所面临的问题 当前企业在信息安全管理中普遍面临的问题:(1)缺乏来自法律规范的推动力和约束。(2)安全管理缺乏系统管理的思想。被动应付多于主动防御,没有做前期的预防,而是出现问题才去想补救的办法,不是建立在风险评估基础上的动态的持续改进的管理方法。(3)重视安全技术,忽视安全管理。企业愿意在防火墙等安全技术上投资,而相应的管理水平、手段没有体现,包括管理的技术和流程,以及员工的管理。(4)在安全管理中不够重视人的因素。(5)缺乏懂得管理的信息安全技术人员。(6)企业安全意识不强,员工接受的教育和培训不够。 以上的问题在具体被调查的某个贸易公司中表现在以下方面: (1)打印机和传真机输出的信息过度暴露。公司使用公用的打印机,并且将打印机、复印机等器材放在一个相对独立的空间里。于是,部门之间的机密文件就可以从设备室开始,在其他部门传播,当部门之间没有秘密,公司也就没有秘密了。 (2)贸易行业中企业员工跳槽现象非常普遍。但是电脑易手问题没有妥善解决,新员工都有过这样的经历:新到一家公司工作,在自己前任的电脑里漫游是了解新公司最好的渠道,公司里曾经发生过的事情“尽收眼底”,从公司以往的客户记录、奖惩制度、甚至还有幸阅读前任的辞呈。 (3)大部分员工为了方便记忆在电子邮件和操作系统中使用相同的用户名和密码,不慎泄露其中任何一个那另外一个也就自动暴露了。而且用户密码的设置规律性很强,基本上就是使用人的生日,例如800214。 (4)将公司的整个内部网络按域划分,实现部门级别的权限管理。每个部门内的每个员工在文件服务器上都有互相独立的存储空间。但是访问权限的设置没有体现实际的安全需求:部门之间禁止互相访问,而部门内的员工对自己的文件并不具有独占的管理权,比如一个业务员可以读、更改、删除另一个业务员在文件服务器中文件夹里面的资料。信息安全管理没有体现业务的需求。 (5)向企业的客户提供资料时没有考虑到企业敏感信息泄露的可能性。在发布的信息中应该出现“此为本公司机密信息,请保密。”字样,并在事前签订保密协议,但是目前企业根本没有考虑到这个问题,也没有规定信息安全对应到每个员工的责任。 (6)没有实现集中化的安全管理。只有当员工电脑出现问题才会有信息技术人员来给你安装操作系统的补丁,或者电脑上的杀毒软件没有采用服务器分发升级包进行自动病毒库更新,而要等到员工发现病毒了才会去升级杀毒软件。 |
| ·上一条:云南要求各电力公司文档加密 为信息安全上“保险 | ·下一条:谁动了企业“技术设计图纸” |  |
