当前位置: 首页 精选范文 企业信息安全治理范文

企业信息安全治理精选(十四篇)

发布时间:2023-10-09 17:40:49

序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇企业信息安全治理,期待它们能激发您的灵感。

企业信息安全治理

篇1

【 关键词 】 信息安全;安全治理;框架;风险管理

1 引言

随着企业的信息化建设,企业信息系统在纵、横向的耦合程度日益加深,系统间的联系也日益紧密,因此企业的信息安全影响着企业信息系统的安全、持续、可靠和稳定运行。此外,美国明尼苏达大学Bush-Kugel的研究报告指出企业在没有信息资料可用的情况下,金融业至多只能运作2天,商业则为3天,工业则为5天。而从经济情况来看,25%的企业由于数据损毁可能随即破产,40%会在两年内破产,而仅有7%不到的企业在5年后继续存活。伴随着监管机构对信息安全日趋严格的要求,企业对信息安全的关注逐渐提高,并对信息安全投入的资源不断增加,从而使得信息安全越来越为公司高级管理层所关注。

2 信息安全问题

目前企业信息安全问题主要包括几个方面。

(1)信息质量底下:无用信息、有害信息或劣质信息渗透到企业信息资源中, 对信息资源的收集、开发和利用造成干扰。

(2)信息泄漏:网络信息泄漏和操作泄漏是目前企业普遍存在的信息安全困扰。网络信息泄漏是信息在获取、存储、使用或传播的时候被其他人非法取得的过程。而操作泄漏则是由于不正当操作或者未经授权的访问、蓄意攻击等行为,从而使企业信息泄漏。

(3)信息破坏:指内部员工或者外部人员制造和传播恶意程序, 破坏计算机内所存储的信息和程序, 甚至破坏计算机硬件。

(4)信息侵权:指对信息产权的侵犯。现代信息技术的发展和应用, 导致了信息载体的变化、信息内容的扩展、信息传递方式的增加, 一方面实现了信息的全球共享, 但同时也带来了知识产权难以解决的纠纷。

3 信息安全治理的困惑

基于信息安全的重要性,企业在信息安全治理方面投入了诸多资源,但是在信息安全治理成效方面仍不尽如人意,主要问题在于几个方面。

(1)信息安全治理的范围不明确:目前企业都在尽力实现良好的信息安全治理,但是由于无法正确理解信息安全治理和信息安全管理的区别,导致了信息安全治理无法与企业的安全规划和企业战略形成一致性。表1从工作内容、执行主体和技术深度三个层面分析了两者的区别。

从表1中可以明确:信息安全治理是为组织机构的信息安全定义一个战略性的框架,指明了具体安全管理工作的目标和权责范围,使信息系统安全专业人员能够准确地按照企业高层管理人员的要求开展工作。

(2)企业信息安全治理路径的错误理解:企业在信息安全治理的过程中,最常用的手法是采用信息安全的技术措施,如使用加密和防伪技术、认证技术、防病毒技术、防火墙技术等方式来进行,但是往往企业投入很多,却没有达到预想的效果,问题在于,信息安全治理并不单单是技术问题,信息安全治理也包含了安全战略、风险管理、绩效评估、层级报告以及职责明确等方面。

4 信息安全治理关注的领域

(1)战略一致性:信息安全治理需与企业的发展战略和业务战略相一致,建立相互协作的解决方案。

(2)价值交付:衡量信息安全治理价值交付的基准是信息安全战略能否按时、按质并在预算内实现预期的价值目标。因此需要设计明确的价值目标,对信息安全治理的交付价值进行评估。

(3)资源管理:实现对支持信息运行的关键资源进行最优化投资和最佳管理。

(4)风险管理:企业管理层应具备足够的风险意识,明确企业风险容忍度,制定风险管理策略,将风险管理融入到企业的日常运营中。

(5)绩效度量:利用科学的管理方法,将信息安全治理转换为可评价的目标的行动,便于对信息安全各项工作的绩效进行有效管理。

5 信息安全治理框架

通过良好的信息安全治理, 可以保护企业的信息资产,避免遭受各种威胁,降低对企业之伤害,确保企业的永续经营,以及提升企业投资回报率及竞争优势。

通过长期的实践经验以及结合COBIT标准和GB/T 22080-2008,总结出信息安全治理的框架主要由四部分组成,如图1所示。

(1)信息安全战略:结合企业的整体信息技术战略规划和信息安全治理现状,制定信息安全战略。

(2)信息安全组织架构:根据企业层面在决策、管理和执行机制对组织结构的要求,建立信息安全治理框架和决策沟通机制,明确公司各级管理层及相关部门在信息安全组织架构中的工作职责与角色定位。

(3)信息安全职责:根据公司信息安全组织架构,进一步明确信息安全相关岗位的工作职责、分工界面和汇报路径等。

(4)信息安全管理制度:信息安全管理制度通过建立一个层次化的制度体系,针对不同的需求方(管理者、执行者、检查者等)从政策、制度、流程、规范和记录等方面进行信息安全活动相关的规定,实现信息安全的功能和管理目标。

6 信息安全治理评估

企业信息安全治理评估有助于提高信息安全治理投资的效益和效果。企业的最高管理层和管理执行层可以使用信息安全治理成熟度模型建立企业的安全治理级别。该模型,如表2所示,被应用为几个方面。

(1)在市场环境中,相对于国际信息安全治理标准、行业最佳实践,以及直接竞争对手,了解企业在信息安全治理上的级别。

(2)进行差距分析,为改进措施提供明确的路径。

(3)了解企业的竞争优势和劣势。

(4)有利于对信息安全治理进行绩效评估。

7 结束语

本文从企业信息安全治理的实践出发,概述了目前企业信息安全治理存在的问题和困惑,总结了企业实现有效的信息治理的关注领域和实施内容,为企业建立良好的信息安全治理提供了基本框架。

参考文献

[1] 马峰辉,刘寿强.企业信息安全治理的经济性探析.计算机安全,2003:70-71.

[2] 娄策群,范昊,王菲.现代信息技术环境中的信息安全问题及其对策.中国图书馆学报,2000(11):33-37.

[3] 刘金锁,李筱炜,杨维永.企业实现有效的信息安全治理之路.中国管理信息化,2012(11):37-39.

[4] 黄华军,钱亮,王耀钧.基于异常特征的钓鱼网站URL检测技术[J].信息网络安全,2012,(01):23-25.

[5] 黄世中.GF(2m)域SM2算法的实现与优化[J].信息网络安全,2012,(01):36-39.

篇2

给企业带来不同程度的损失。因此,如何提高企业内部网络信息安全管理水平,是摆在企业管理和计算机管理人员的重要课题。本文分析了网络环境下企业信息安全问题及其出现的原因,并提出了综合治理的措施。

【关键词】网络环境;企业信息安全;综合治理

一、网络环境下企业信息安全问题

网络环境下企业的信息安全是一个系统概念,分为网络安全和信息安全两个层面。网络安全的定义是:确保以电磁信号为主要形式的,在计算机网络系统中进行获取、处理、存储、传输和利用的信息内容,在各个物理位Z、逻辑区域、存储和传输介质中,处于动态和静态过程中的机密性、完整性、可用性、可审查性和可抗抵赖性的与人、网络、环境有关的技术和管理规程的有机集合;信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常的运行,信息服务不中断。网络环境下企业信息安全问题主要有:

(一)数据窃听和拦截

数据“窃听”和拦截是指直接或间接截获网络上的特定数据包并进行分析来获取所需信息。在网络中,当信息进行传播时,利用工具将网络接口设Z在监听模式,便可截获或捕获到网络中正在传播的信息,从而进行攻击。因此,一些企业在与第三方网络进行传输时,需要采取有效措施来防止重要数据被中途截获,如用户信用卡号码等。

(二)数据丢失

计算机系统由于系统崩溃、硬件设备的故障或损坏、网络黑客入侵、计算机病毒发作以及管理员的误操作等各种原因会导致数据出错、丢失和损害,如果没有事先对数据进行备份,后果不堪设想。

二、网络环境下企业信息安全问题的成因

(一)信息系统的安全缺陷

信息系统是计算机技术和通信技术的结合体,计算机系统的安全缺陷和通信链路的安全缺陷构成了信息系统的潜在安全缺陷。计算机硬件资源易受自然灾害和人为破坏的影响,软件资源和数据信息易受计算机病毒的侵扰、非授权用户的复制、篡改和毁坏。计算机硬件工作时的电磁辐射以及软硬件的自然失效、外界电磁干扰等均会影响计算机的正常工作。通信链路易受自然灾害和人为破坏。信息系统的安全缺陷通常包括物理网络的安全缺陷、过程网络的安全缺陷以及通信链路的安全缺陷三种。如网络协议和软件的安全缺陷,因特网的基石是TCP/IP协议簇,该协议簇在实现上力求效率,而没有考虑安全因素,因为那样无疑增大代码量,从而降低了TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全的,很容易被窃听和欺骗。

(二)恶意攻击

这主要是指人为威胁,通过攻击系统暴露出的要害或弱点,使得网络信息的保密性、完整性、可靠性、可控性、可用性等受到伤害,造成不可估量的经济和政治损失。人为威胁又分为两种:一种是以操作失误为代表的无意威胁(偶然事故);另一种是以计算机犯罪为代表的有意威胁(恶意攻击)。恶意攻击的方式多种多样,主要有中断、截获、篡改、伪造,无论哪种方式,其结果造成的危害都是很严重的。

三、网络环境下企业信息安全问题的综合治理

(一)容灾备份

首先,要解决网络的物理安全,网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。在这个企业区局域网内,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。这个是整个网络系统安全的前提。

其次采用容灾备份技术。容灾备份是通过特定的容灾机制,在各种灾难损害发生后,仍然能够最大限度地保障提供正常应用服务的信息系统。容灾备份可以分为数据备份和应用备份。数据备份需要保证用户数据的完整性、可靠性和一致性。而对于提供实时服务的信息系统,用户的服务请求在灾难中可能会中断,应用备份却能提供不间断的应用服务,让客户的服务请求能够继续运行,保证信息系统提供的服务完整、可靠、一致。一个完整的容灾备份系统包括本地数据备份、远程数据复制和异地备份中心。当然并不是所有的企业都需要这样一个系统,只有对不可中断的关键业务才有必要建立容灾备份中心。

(二)信息保密

1、信息的加密

加密是提高计算机网络中信息的保密性、完整性,防止信息被外部破析所采用的主要技术手段,也是最可靠、最直接的方案。加密算法主要有两种:私钥(对称密钥)加密法和公钥(非对称密钥)加密法。在计算机网络的出入口处设置用于检查信息加密情况的保密网关,对内部网内出网的电子文件,规定必须加保密印章标识,并对其进行检查和处理:无密级的文件,允许出关。由国家保密局立项研制的内部网保密网关已经投入了使用,它能够为保证计算机网络的信息保密起到重要的防范作用。

2、数据完整性验证技术

数据完整性验证是指在数据处理过程中,验证接收方接收到的数据就是发送方发送的数据,没有被篡改。

3、网上信息内容的保密检查技术

为了了解网络用户执行保密法规制度的情况,及时发现泄密问题,必须加强对网上信息内容的保密检查。

4、身份验证技术

为了使网络具有是否允许用户存取数据的判别能力,避免出现非法传送、复制或篡改数据等不安全现象,网络需要采用的识别技术。常用的识别方法有口令、唯一标识符、标记识别等。口令是最常用的识别用户的方法,通常是由计算机系统随机产生,不易猜测、保密性强,必要时,还可以随时更改,实行固定或不固定使用有效期制度,进一步提高网络使用的安全性;唯一标识符一般用于高度安全的网络系统,采用对存取控制和网络管理实行精确而唯一的标识用户的方法,每个用户的唯一标识符是由网络系统在用户建立时生成的一个数字,且该数字在系统周期内不会被别的用户再度使用;标记识别是一种包括一个随机精确码卡片(如磁卡等)的识别方式,一个标记是一个口令的物理实现,用它来代替系统打入一个口令。一个用户必须具有一个卡片,但为了提高安全性,可以用于多个口令的使用。

(四)病毒防治

防病毒软件必须满足以下要求:能支持多种平台,至少是在Windows系列操作系统上都能运行;能提供中心管理工具,对各类服务器和工作站统一管理和控制;在软件安装、病毒代码升级等方面,可通过服务器直接进行分发,尽可能减少客户端维护工作量;病毒代码的升级要迅速有效。

在实施过程中,企业可以以一台服务器作为中央控制一级服务器,实现对网络中所有计算机的保护和监控,并使用其中有效的管理功能,如:管理员可以向客产端发送病毒警报、强制对远程客户端进行病毒扫描、锁定远程客产端等。正常情况下,一级服务器病毒代码库升级后半分钟内,客户端的病毒代码库也进行了同步更新。要做到经常对防病毒定义码进行更新与升级,防止由防病毒软件产生的漏洞。对于防火墙,除合理布署外,安全策略要从严掌握。要尽量关闭信息系统不使用的端口,以防止入侵者对系统的攻击。需要注意的是,计算机管理人员要了解应用程序所使用的端口,以免造成系统不能正常运行。

参考文献

篇3

企业经营信息对于企业来说是一种资源,对于企业自身来说具有重要意义,企业需要妥善管理自身企业的信息。近年来,企业的各项经营活动都逐渐开始通过计算机,网络开展,因此,企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革,把更多的注意力放在企业内部的信息安全管理工作,同时将企业信息安全管理与风险控制结合起来,这是一个正确的选择,能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义,因此,本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。

企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。

所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。

二、企业信息安全管理与风险控制存在的不足

1.企业信息安全管理工作人员素质不高

对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。

2.企业信息安全管理技术不过关

企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。

3.企业信息安全管理制度不健全

企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。

三、企业信息安全管理常见的技术手段

1.OSI安全体系结构

OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。

2.P2DR模型

P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。

3.HTP模型

HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。

四、完善企业信息安全管理与降低风险的建议

1.建设企业信息安全管理系统

(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。

(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。

(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。

(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。

2.设计企业信息安全管理风险体系

(1)确定信息安全风险评估的目标

在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。

(2)确定信息安全风险评估的范围

不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。

篇4

关键词:企业运维管理;信息系统;安全风险

随着信息时代的来临,信息系统和技术已经成为当下各个领域不可或缺以及赖以生存的基础性建设。现今信息已经成为衡量一个企业综合竞争水平的重要标志。但是,信息技术在不断支撑着企业业务开展的同时,其在运维方面也会产生相应的安全风险,主要表现为非法访问、信息篡改以及信息泄露。这些风险就会对企业的信息安全带来巨大的隐患。

1信息系统安全风险的控制难点

近年来随着网络技术的不断更新,企业也通过各种安全措施加强了信息系统安全风险的防护措施,但仍存在两个难点,首先是信息系统的高风险性,由于当下信息系统较为复杂,且漏洞较多,就会使得系统处于高风险性,使得运维人员很难进行控制。其次是当下IP管理以及信息系统的规模逐渐增加,也就使得攻击源变得多样化,运维人员无法进行有效的追踪,也无法进行有效的防护。

2企业运维管理中信息系统安全风险分析

近年来,信息时代的脚步逐渐加快,信息化的水平也在与日俱增。信息技术也以其方便、实用等特点广泛地应用在各企业之间。而为了更好地将信息技术的最大作用发挥出来,就需要定期对其维护。但是随着信息系统的应用需求逐渐增加,网络规模的不断扩大,使得信息系统的结构愈加复杂,也使得技术漏洞逐渐增加,这就会对企业的信息系统带来安全隐患。在现今运维管理中信息系统的安全风险主要包括下述几个方面。

2.1服务器终端层面的风险

服务器终端层面的风险主要分为下述几个部分:①信息系统的基本安全保密配置不够完善,管理不够成熟,这就使得用户可以私自更改BIOS的启动顺序,使得安全防护产品的失效,从而进行信息的窃取和篡改;②安全风险的报警装置不够成熟,不能够达到预期的效果,通常会由于安全产品之间的兼容性问题失去应用的效用,出现误报或者漏报的情况。然后就是系统含有漏洞,信息系统最主要的部分就是系统,在当下的企业中应用的操作系统基本上都为Windows系列,而一些停止补丁升级的Windows系统就存在着漏洞,很容易受到侵蚀,进而造成数据的丢失。2.2网络层面的风险在网络层面安全风险主要为网络设备的安全配置不当,通常会开启多余的服务或者端口,这就存在了被非法访问的隐患。同时在访问控制方面不能对接入进行有效的控制,会造成设备非法接入的风险。另外,企业通常不会对用户进行分层、分级,这就会导致网络拓扑混乱,使得企业重要的信息资源存在被非法授权访问的安全隐患。

2.3硬件层面的风险

现今,企业都拥有大量的硬件,且都是采用的国外进口。企业根本无法知晓底层硬件的工作机制,其是否含有隐藏通道等。例如惠普的某型号服务器已经被证实存在后门,这些设备的运维都需要专业的工作人员进行,这也就会使得维修过程容易发生信息篡改或者信息窃取的风险。2.4应用层面的风险应用层面的风险主要就是身份认证的管理不够完善。管理员的口令较弱、用户名和密码过于简单等都会被攻击者利用。甚至在当下一些企业还有用户名公用、滥用的现象,这就更给攻击者提供了良好的机会,攻击者可以通过这些漏洞进行水平提权,进而对信息进行窃取,甚至其可以获取管理者的权限,对系统进行控制,这就会给企业造成巨大的经济损失。

2.5安全审计层面的风险

在当下的信息系统风险管理都会部署一些安全监测产品,例如防火墙、杀毒软件等。这些产品只能针对某类安全问题有效,这就使得信息系统的审计工作变得松散,不能形成完整的体系。而且由于系统的兼容性等原因,总会出现误报、漏报的现象,这就会对审计的作用带来巨大的影响,使其无法发挥其应有的效用。另外,企业虽然相应的部署了安全管理平台进行日志的收集,但在当下的信息系统中智能分析能力较弱,不能够对全局进行有效的监控,也就没有办法实现综合监控和安全风险的态势分析。

3企业运维管理中信息系统安全风险的控制策略

通过对上述安全风险的问题进行有效的分析,基于信息的特点,本文提出了下述信息系统安全风险的控制策略。

3.1加强信息系统数据资源的安全风险控制

数据资源的风险控制主要从三个方面进行:①存储安全,可以采用先进的加密技术对信息数据库进行加密处理,从数据资产产生的源头进行安全防护体系的构建;②标识安全,通过标识技术对信息进行去区分标注,经过审计后,让标识与信息系统密不可分,这样就不会出现信息篡改的问题;③访问安全,可以采用强制访问控制的方式,对访问主体进行限制。例如,某些数据非管理员权限仅能读取,不能够打印或者重新编辑,而一些重要信息限制再无权观看。

3.2加强信息系统的信息安全风险控制

信息安全主要就是对应用安全进行控制,通过对系统的需求进行有效的分析,设计开发指导验收运维过程中进行安全保障。同时还要定期对系统进行渗透测试,如果企业的技术较为先进,还可以通过源代码进行安全风险分析,仔细地对漏洞进行查找,如果发现及时进行修复,长此以往就会不断提高系统的整体安全性。另外还要将运维过程中出现的问题进行整体分析,这样就能够形成较为完善的风险控制规范,为后续的系统安全提供可行性较高的参考数据。

3.3构建运维风险控制平台

针对认证管理和孤岛等问题,就可以亿堡垒机为中间体进行控制平台的构建,形成对企业信息系统全面的安全监控。通过安全防护产品的报警日志和应用系统的审计日志,构建威胁事件的审计模型,构建完善的综合安全事件分析统计平台,这样才能对风险事件进行关联审计分析,最终实现实时报警的效果。

3.4加强信息系统的管理和梳理

要想切实地提高企业的信息系统运维管理能力,必须要加强信息安全专项检查,要制定详细的规范来明确信息系统日常需要进行的管理操作,还要对日常管理的具体细节进行定义,这样才能使信息系统日常管理规范、明确,继而使其信息化和制度化。还要闭环管理信息安全风险和运维实践,防止低层次的信息安全问题发生。另外还要加强专项检查整体提高信息系统的安全运维能力。同时还要对信息资源进行有效的分类整理,要构建完善的应急备灾能力,还要定期对应急备灾的能力进行检测,例如可以临时构建信息丢失的问题,看其恢复能力,只有这样才能有效地保障备份能够及时地恢复。

3.5构建完善的信息风险防护体系

正与邪、矛与盾、攻与防,永远都是相对存在的。在信息系统风险控制上也是一样的,要想预防攻击者的非法入侵,就必须要建立完善的信息风险防护体系。所以,企业要培养构建一支团队,让其不断进行学习,掌握攻击的技术,然后让其对企业的防护系统进行破坏,进而完善,只有不断地从攻击者的角度去思考,才能够构建完善的防护体系,只有不断进行攻防,才能够更好地提升信息风险防护体系,让其更好地保护信息系统,防止信息窃取和篡改的问题出现。

4结语

综上所述,虽然当下企业对信息安全风险的防护工作不断重视,也构建了许多防护的措施,具备了一些防护能力,但由于信息技术的不断发展,使漏洞变得更加隐蔽。所以,企业要想稳定发展,必须要采取措施对信息系统安全风险进行运维控制,只有这样才能有效的保障企业的经济利益,为企业的发展做出有力的支撑。

作者:徐美霞 单位:广东电网有限责任阳江供电局

参考文献:

[1]上官琳琳.企业信息系统的管理与运维研究[J].管理观察,2014(18):100-101+104.

[2]何芬.企业运维管理中信息系统安全风险控制探究[J].信息技术与信息化,2014(5):208-210+212.

[3]石磊,王刚.关于企业信息安全风险管理系统的研究[J].华北电力技术,2013(9):65-70.

篇5

一、人力资本与物质资本的契约关系:高新技术企业与传统企业的比较分析

与传统企业相比,高新技术企业人力资本与物质资本的关系发生了深刻变化,主要表现在以下三点:

1.从雇用关系到合作关系的转变

传统企业的最大特征是生产的资本化,即在企业的创立和发展过程中,物质资本投入比重非常大并远远超过人力资本投入比重;同时,从市场供求关系看,物质资本供应相对稀缺,而人力资本(主要是普通劳动力)相对充足。因此,传统企业的主人是物质资本所有者。人力资本在形式上隶属于物质资本,纳入到物质资本运动中并服从物质资本的需要,支配了物质资本也就支配了人力资本,产权的运作仅是物质资本的运动,即资本增值和创造利润的过程。这样,企业的契约关系表现为物质资本所有者雇用人力资本所有者的关系。即使是在“两权分离”的现代企业里,企业经营管理职责由人力资本所有者(企业家或职业经理人)承担,物质资本所有者(股东)投入的股本在公司中转化为公司的法人财产,这种安排仍没改变股东是企业的所有者、经营者是股东的被雇用者的状态,经营者仅被视为股东的人,股东通过董事会或股东会“用手投票”行使企业的控制权,或通过资本市场“用脚投票”制约管理者。

与传统企业相比,高新技术企业主要依赖于人力资本,这一重要特点决定了高新技术企业的创立主要有两种方式。第一种方式是既拥有高科技知识和创新成果又具有经营管理才能的人力资本所有者,通过自身的内部融资自己创立企业和组织生产经营活动,由此人力资本与物质资本融为一体;第二种方式是拥有创新知识和技术成果的人力资本所有者,与提供货币资本的物质资本所有者共同创立企业和经营管理企业。由于高新技术企业投资具有突出的风险性,传统的债务融资并不适用于企业的融资需要,因此高新技术企业的物质资本主要表现为风险资本,风险资本的突出特点是股权资本融资,其最终目的是赢利退出,而非长期控制企业,一旦创业成功风险投资者将在市场抛售股票以收回资本、获得巨额利润,并开始扶持新的高新技术企业。因此,高新技术企业是人力资本所有者和物质资本所有者在共同利益基础上创立和发展的,前者提供管理能力、创新知识和技术成果,后者提供物质资本,企业的契约关系从一开始就表现为合作关系,而不是雇用与被雇用关系。

2.从单一委托关系到多重委托关系的转变

企业是委托人和人之间围绕风险分配所做的一种契约安排,委托权的本质是承担风险,因此成为委托人所需的根本条件是承担风险。在传统企业,企业的风险主要表现在物质资本的风险上,物质资本所有者几乎承担着企业的全部风险,所以传统企业的委托—关系是以物质资本为核心要素构建的单一委托关系,即物质所有者是委托人,人力资本所有者是人。但是,在高新技术企业里,物质资本所有者(即风险资本投资者)通常将风险资本委托或投资于风险投资公司,由风险投资公司再投资于高新技术企业,由于风险投资公司的最大优势是资本经营与运作而非企业管理与运行,因此他们一般担任董事会建设者的角色,这样,风险资本投资者不仅不参与高新技术企业的创立,而且不参与企业经营管理,而人力资本所有者成为高新技术企业创立的主要角色。此时,在现代市场经济条件下,物质资本投资者的风险日益社会化,风险资本不能承担企业全部风险,而只是对自己的投资承担风险,而人力资本在高新技术企业的专用性和团队化日益提高,一旦退出企业或企业失败,其价值将大大降低,人力资本投资者,特别是创业企业家和核心技术人员也成为高新技术企业风险的承担者。显然,风险资本投资者、风险投资家、企业家和技术创新者形成了风险共担、收益共享的格局,这种格局打破了只有物质资本所有者是惟一的委托人,而其他人只能做人的产权配置态势,传统的单一的委托关系发生了质的变化,变成多重委托关系。在这种新型委托关系中,每一个所有者在凭借对自己拥有的生产要素产权行使委托人权利时,也同时是其他生产要素所有者的人,每一个要素所有者都有资格管理他人,同时也接受他人的管理。如拥有技术创新能力的人力资本所有者在委托风险投资者和企业家人力资本所有者把自己的创新知识、创新技术和创新设计商品化、产业化时,也他们行使技术创新的职能。这种新型委托关系为高新技术企业产权关系和治理结构优化、最大限度降低风险创造了条件。

3.从天然对立关系到有效合作关系的转变

长期以来,传统企业的所有权被认为是物质资本的企业所有权,在企业治理结构中只存在一种所有权,即物质资本所有权,这种所有权能够量化、价值化和资本化;相反,人力资本的企业所有权表现为非价值化和非资本化,两种资本的企业所有权是非对称的。同时,传统企业的委托关系特征决定了人的行为目标应该与委托人(股东)的目标一致,即企业的惟一目标是股东利益的最大化。企业所有权主体的惟一性和企业目标的惟一性导致传统企业中物质资本所有者和人力资本所有者的天然对立。但是,高新技术企业人力资本所有者和物质资本所有者的合作性质和新型委托关系,决定了企业所有权主体是多元的,企业的目标既是物质资本所有者(股东)利益的最大化,也是人力资本所有者利益的最大化,这有效地实现了两者利益目标取向的一致性,使两者的对立关系转变为有效合作关系。

二、高新技术企业产权结构特征

1.高新技术企业产权多元化

与传统企业相比,高新技术企业的产权结构是多元化的,由两种主要的产权形式构成,即物质资本产权和人力资本产权。前者的人格化代表是风险资本投资者,其投资主体也是多元化的,主要包括三者:一是政府,如美国政府建立了中小企业投资公司,为每一美元风险投资提供四美元的低息贷款;二是资本市场上的各种金融中介机构,如证券公司、投资银行、保险公司和各种基金组织等,由这些组织组成的各种形式的风险投资基金;三是风险投资公司,它通常是由一些大公司设立的。后者的人格化代表是拥有管理能力和技术创新能力的创业者(企业家)和核心技术人员。高新技术企业的高风险性,对其创业者提出了很高的要求,要求他不仅要有全面的专业知识、丰富的市场经验,而且要有处险不惊、果敢刚毅的人格魅力。在一定意义上可以说,创业者决定着风险企业是成功还是失败。因此,创业者作为企业创始人以及他的知识和经验作为企业专用的资产,其往往拥有较多的股权。同时,技术创新对高新技术企业的决定性意义远胜于一般企业,技术的复杂性和不确定性决定了技术的定价非常困难,甚至无法定价,而且技术创新过程是一种创造性的智力活动,对技术创新人员的工作过程和结果进行监督并不能导致效率最大化,因此高新技术企业不是采用传统企业中将技术人员置于被雇用者地位的做法,而是将核心技术以股权等形式进入企业的产权结构安排中。

由物质资本产权和人力资本产权为主体构成的风险资本投资者、创业者和核心技术人员,一开始就进入高新技术企业的产权结构中。这种产权结构既强调物质资本产权的实现,也强调人力资本产权的实现,对两种产权的权利、责任和利益进行了明确界定:对风险资本产权而言,风险资本所占股份为多少,风险资本退出的周期多长以及如何实现成功退出,风险资本如何进行风险控制管理,等等;对人力资本产权而言,技术创新的周期多长,技术创新成果的市场经济价值多大,值多少股份,创业者在创业过程中的权利、责任与利益如何安排,等等。高新技术企业产权多元化,既激励约束了风险资本投资者,也激励约束了人力资本所有者,体现了高科技时代企业增长和经济发展的创新模式。物质资本产权和人力资本产权的结合构成了高新技术企业产权的全部内涵。

2.人力资本产权的独立性、股份化和可交易性

在传统企业里,人力资本所有者虽然参与了企业的剩余索取权和控制权,但这种权利并不是以所有者的身份获得的,而是物质资本所有者对人力资本所有者的奖励或激励,因此,在企业产权结构中,两种产权是不对等的,物质资本产权统治和支配着人力资本产权,人力资本产权从属于物质资本产权,人力资本剩余索取权仅仅表现为一定量的利润分享,并没有股份化和市场化,由此人力资本产权不能在资本市场进行交易。在高新技术企业里,由于人力资本所有者是企业的合作者之一,因而人力资本产权是以所有者身份获取的,是一种独立的、与物质资本产权对等的产权形式。

高新技术企业人力资本产权的另一个重要特征是人力资本产权的股份化和可交易性。人力资本产权部分是以创业者身份和技术创新成果获得的股份,部分是以企业家人力资本和技术型人力资本获得的股票期权。随着高新技术企业成长到一定阶段,它已积累了一定资产,并向有限公司转变,这不仅为人力资本转化为货币资本提供了条件,而且为人力资本所有者从对企业承担无限责任向承担有限责任转变提供了条件。在高新技术企业公开招股上市,完成由封闭公司向公众公司转变时,人力资本产权的最终实现是产权的股份化,人力资本所有者本身就成为企业股份的所有者,真正成为拥有剩余索取权和剩余控制权的股东,人力资本所有者的人力资本彻底向货币资本转化,并可在资本市场进行交易。因此,在高新技术企业发展过程中,逐步实现人力资本产权资本化、股份化,并可以在资本市场交易和变现,这既能促进人力资本产权价值的真正实现,又对高新技术企业发展和产权结构调整具有重要意义。

3.高新技术企业产权高度流动性

高新技术企业流动性快,增长性也快,面临很大的不确定性,风险资本投资者投资于高新技术企业的目的是为了获得高额回报,为了控制和避免风险,获取高额收益,无论是风险资本投资者还是创业者,都要求高新技术企业的产权具有高流动性,都要求产权能迅速变现。首先,高新技术企业能根据企业发展阶段和经营状况调整企业的产权结构。在高新技术企业创立初期,创业者和风险资本投资者根据出资量和估算的技术成果市场价值来确定双方的股权结构,但创业者一般持有普通股,风险资本投资者持有可转换优先股或可换股债券等复合金融工具。可转换优先股的优势:一是转换价格和转股比例可以依据企业发展状况而灵活变化;二是具有优先清偿权;三是附加有股息率和支付条款。这种优势可以保证风险资本投资者在企业发展的不同阶段选取对自己最有利的股权方式。因此,创业者收益与企业经营业绩紧密联系,企业业绩越好,创业者可获得更多的股票份额和更高的股票价值;当企业经营不善时,风险资本投资者的优先股转股比例提高,创业者持股比例下降,而且在支付优先股利息之后,普通股已经大大贬值了。这种产权结构流动既激励约束了创业者,也保护了风险资本投资者的产权利益。

其次,高新技术企业发展到成熟阶段,风险资本投资者能适时将手中的高新技术企业产权转让变现,通过产权流动实现风险资本和人力资本产权回报。高新技术企业产权流动的主要形式有:一是技术转让,即通过将新研发的技术卖出,收回风险资本投资本金并实现技术创新者的人力资本价值。二是经营运作,一方面通过产品的持续销售获得利润,逐步收回投资本金;另一方面通过确认人力资本的股权和持续的利润分配,实现各类人力资本产权的价值。三是资产转让,即将企业资产连同新技术一并卖出,收回风险资本投资本金并同时实现各类核心人员的价值。四是股权转让,即将一部分或全部股权转让给其他投资者,从而收回风险资本投资本金和实现人力资本产权价值。五是公司上市,即通过公司股份在证券交易场所上市流通,卖出股份,收回投资本金和实现人力资本产权价值。这五种产权流动形式虽各有优势和不足,但从功能从较角度来看,“公司上市”最为重要。通过提供多元化的风险资本退出渠道和建立多层次的资本市场体系促进产权流动,风险资本投资者和人力资本所有者获得产权回报,也使企业获得进一步发展。美国通过纽约证券交易所、NASDAQ全国市场及小型市场、各类场外交易市场等多层次资本市场,为风险资本提供良好的退出通道,同时为其他投资主体进入高新技术企业产权结构中提供了通道,这就保证高新技术企业产权能迅速、顺畅地流动,从而确保了风险资本和人力资本产权的实现,也保证了高新技术企业持续稳定发展。

4.高新技术企业创业阶段一般采取有限合伙制的产权制度安排

有限合伙制在产权结构上具有以下特征:

(1)人力资本产权的无限责任与风险资本产权的有限责任统一。高新技术企业创业阶段由有限合伙人和普通合伙人组成,有限合伙人是风险资本投资者,其投资量一般占总投资的99%,并以其所投资本承担有限责任,企业成功后可分得75~85%的资本利润;普通合伙人是风险资本家和创业者,他们是企业的管理者和决策层,其投资量仅为总投资的1%,但对企业的经营承担连带无限责任,成功后可分得15~25%的利润。人力资本产权的无限责任将人力资本与企业发展紧密地联系在一起,既是一种股份激励制度,也是一种企业治理的约束制度,风险资本产权的有限责任有利于吸纳高新技术企业所需的资金,因此人力资本产权的无限责任和风险资本产权的有限责任的产权制度安排,促进了高新技术企业的技术创新和科技成果转化,充分实现了两种资本的高效配置。

(2)有限期限的封闭式风险资本和强制分配条款。风险资本投资的主要功能在于向高新技术企业提供长期融资,由于高新技术企业还未上市,因此风险资本投资一般采用封闭式,有限合伙人一般不能撤资,风险资本流动性较差,且投资周期有限,通常为7~10年。为了保护有限合伙人的利益,产权契约规定投资期满后,除非2/3的有限合伙人同意延长一年,否则风险资本家和创业者必须退还本金和分配收益。

(3)有限合伙人虽没有管理权,但在关键问题上有投票的权利,如有限合伙协议的修订,合伙关系的提前解除,基金寿命的延长,风险资本家的撤换等。

三、新技术企业治理结构特征

1.强化人力资本治理结构

传统的公司理论是以“股东资本本位”理论构建的,公司被理解为是一个由物质资本所有者组织起来的联合体,在股东的资本和管理者、生产者的劳动这两个生产要素中,为公司提供物质资本的“资本家”对企业拥有绝对的所有权,管理者或生产者只是股东资本的雇佣者。因此,公司治理结构所要解决的问题是,在公司所有权与经营权分离的条件下,如何确保物质资本所有者获得投资回报,即物质资本所有者通过什么机制迫使经营者将公司的利润作为投资回报返还给自己;如何约束经营者的行为并使其在物质资本所有者的利益范围内从事经营活动。但是,在知识经济的模式下,一方面,高新技术企业核心价值掌握在人力资本所有者手里,人力资本已经成为企业生存和发展的决定性生产要素;另一方面,高新技术企业的生产、经营活动已经高度专业化,分工也越来越细。生产者、经营者对专有知识、专有信息独占性越来越强,与物质资本所有者的“信息不对称”现象也越来越严重,并且也越来越不可逾越。在这种情况下,传统的企业制度和治理结构形式显然无法容纳人力资本的作用,为了解决上述问题,适应高新技术企业发展的需要,高新技术企业公司治理结构的重心产生了重大变化,发生了从“以资为本”向“以人为本”的转变。即企业已从过去那种以物质资本为基础,以物质资本的所有者和经营者的关系如何界定为中心的治理结构。转向了以物质资本和人力资本为基础,以这两种资本的权利关系如何界定为中心的治理结构,企业治理结构主要围绕如何激励以调动人力资本的积极性和如何适当约束人力资本的短期行为,激励机制可以保证人力资本应有的地位及利益,而约束机制则可以防止人力资本侵犯物质资本的利益,从而维护物质资本的地位及利益,通过建立激励与约束兼容的机制来实现两种资本双赢。因此,高新技术企业的人力资本成为企业治理结构安排的重要要素,强化人力资本治理结构成为知识经济条件下高新技术企业最典型的企业治理结构形态。

高新技术企业人力资本治理结构主要表现为:首先,人力资本股权激励成为高新技术企业治理机制的重要组成部分。为了激励人力资本,高新技术企业在股权安排方面往往通过股权激励制度安排使人力资本所有者拥有股权。股权激励采取的形式一般有两种,一种是将企业的一部分股权作为人力资本所有者的非现金收入或直接发放给他们作为管理股和技术股,人力资本所有者直接成为企业所有者;另一种是实行人力资本所有者股票期权,股票期权是规定人力资本所有者在某一段时期内按照某一约定的较低价格买进股票的权利,其实质是让经营者能够分享企业长期发展之后的价值增值,将人力资本所有者的收益与企业的利益紧密结合在一起。这种内在的联系使得经营者克服了决策和规划的短期效应,在公司的经营管理和发展战略问题上考虑的是企业的长期赢利能力。在高新技术企业治理中,一方面,股权激励使人力资本成为企业的所有者之一,增大了人力资本所有者经济实力,增强了人力资本所有者对企业的控制能力,从而强化了人力资本在企业治理结构中的作用;另一方面,股权激励使人力资本既分享企业增长所带来的收益,也承担企业风险所带来的损失,从而人力资本与企业的发展休戚相关,同时,人力资本所有者与物质资本所有者形成利益共同体,双方共同分担风险,相互制约,相互促进,降低了成本。

其次,董事会作用的弱化和首席执行官(CEO)制度的形成。CEO拥有远远大于以往总经理的权利,不仅正常的经营管理,而且在公司战略、重大投资、财务安排等方面拥有很大权力,还具有提名内部董事的资格,因此一般认为CEO拥有相当于50~60%的董事长权力。董事会的决策作用和监督作用都开始弱化,董事会的权力只局限于挑选一位合格CEO,当公司战略出现重大失误或者业绩出现严重问题时选择新的CEO代替前任。与此相对应的是,为保证权力巨大的CEO不滥用权力,CEO常常以管理层收购或者购买期权的形式拥有相当数量的企业股权,不再是单纯的公司雇员。CEO制度的产生实际上表明了高新技术企业治理结构的全面调整,一方面对人力资本和物质资本的地位和权利做重新的界定,主要是提高了人力资本在企业中的地位,增大了人力资本在企业中的权利,而物质资本的权利大多表现在产权的利益回报上,而不是其他方面,不再强调物质资本对企业的控制;另一方面对人力资本和物质资本进行功能性分工,经营活动已由CEO来独立进行,董事长不再进行重大经营决策。

最后,高新技术企业风险投资制度的发展更强化了人力资本治理。虽然风险资本投资者持有公司相当一部分股权,甚至持有大部分股权,但风险投资的持股期限是有限的,对经营管理的介入也是有限的,这使得风险资本具有某种“借贷资本”的性质,较多注重收益而较少注重管理。

2.风险资本的相机治理

风险资本在高新技术企业中一般采取相机治理的方式参与企业治理。风险资本在高新技术企业投资过程中,通常采用的投资工具有可转换优先股、可转换债券和附购股权债券等。其中可转换优先股是最普遍的一种形式,其优势在于:其一,持有优先股可优先获得固定的股息,并可以在企业经营状况良好时通过转换为普通股而分享企业利润增长的利益;其二,可转换优先股一般附有赎回条款,在投资者对企业前景信心不足时,持有人可要求企业赎回股票,从而避免更大的损失,同时也对企业创业者形成更大的压力和约束;其三,可转换优先股通过转换为普通股可加强持有人对企业的监督控制。一般企业的优先股意味着优先分配利润和没有表决权,放弃对企业重大决策的参与。而在高新技术企业里风险资本投资者在投入风险资本时,投资者和创业者双方要签订契约,把大量防范风险、确保回报的条款列入契约,风险投资虽持有优先股,却享有参加董事会并参与重大决策的权利,享有对某些重大事项如企业产权转让、出售、上市等的完全否决权或超股权比例的否决权。可转换债券是持有人能以约定期限和约定价格转换为企业股份的债券,选择可转换债券使风险投资者在取得稳定收益的基础上,通过债权转股的方式获得参与企业经营管理并分享成长潜力的机会。附购股权债券是指风险资本以债权形式进入高新技术企业时可获得一项认股权,即能够在未来按某一特定价格买进既定数量的股票,这使得投资者未来可能以较低价格获得企业股份,从而加强对企业的监控地位。

3.以高度发达的人力资本市场和资本市场为主导的外部治理机制

人力资本需要经过市场的洗礼,需要在企业经营中证实与不断证实,如果人力资本所有者的经营绩效不好,就会失去在人力资本市场中的“声誉”,很难再有机会成为风险资本投资者搜寻的对象。因此,人力资本市场实际上是满足市场基本门槛、对学历、背景、业绩与失误详细记载的动态人群,通过这个市场,作为一种资本的人力资本能不断流动,把真正具有价值的人力资本留下来,这对企业中的人力资本形成强大外部压力,从而对人力资本起到了重要的约束作用。管理者更替是美国高新技术企业治理的重要组成部分,这依赖于高度发达的人力资本市场。在美国高新技术企业中大多实行驻守企业家制度,即风险资本投资者通过人力资本市场物色有成功创业经历的优秀企业家,让他们在风险基金中任职,参与组建高新技术企业,在必要时担任新组建的高新技术企业的管理者。

资本市场主要通过两个方面对企业治理产生作用。一是价格机制。企业股票在资本市场的价格反映了企业管理者的经营管理水平,物质资本投资者通过对企业市场价格的观察和预期,来评价管理者的经营管理水平,降低了监督成本;同时,根据评价结果物质资本所有者可以采取更换管理者、出售股票、寻找合作伙伴以及引进新的投资者和管理者等行为,这些行为将给管理者带来巨大压力,迫使其尽职尽责提高企业经营业绩。二是退出机制。风险资本投资高新技术企业的目的并不是永久地拥有企业,而是希望通过投资运营,达到资本增值,然后以某种退出方式实现投资回收。风险资本投资的这个特点,隐含了一个创业者通过首次公开发行重新由风险资本投资者手中获得企业控制权的期权,即在风险资本投资者和创业者之间签订的持股契约中,允许企业者在达到某种业绩标的时(一般是首次公开发行),可以增加创业者股份份额(通常是普通股)和重新获得控制权,这给予创业者很大的激励。因此,发达的资本市场在为风险资本提供顺利的退出渠道时,也同时实现了高新技术企业控制权的重新分配,从而优化了企业治理结构。

【参考文献】

篇6

关键词:制造企业;日常行为;信息安全

当今时代,随着市场经济和全球商业一体化发展,经济趋e(信息技术)化,信息的运用成为关系企业经营成败的重要因素。正因如此,技术信息的外流、个人信息的泄露、病毒和黑客网络犯罪肆虐,使得信息安全问题已成为全球性的、亟待优先处理的课题。

一、信息安全的必要性

伴随着当前信息化、社会化的发展,信息已经成为一项重要的经营资源。由于电子化、网络化的发展,人们可以将大量的数据简单地通过网络发送,或者将大量的数据保存在一枚存储卡上,携带出去。与此相对应,窃取信息的诱因也增大,由于过失而导致信息泄露的可能性也增加了。同时,随着人才的流动不断发展,公司的员工,因各种原因常会流动到其它竞争对手企业中去工作。另外,企业业务一体化的不断发展,对外派遣员工成了企业常见的现象,与各种各样的人共享信息以及和他们在同一场所工作的情况增加,从而可能发生各种信息资产的对外泄露,导致公司的商业信用丧失,大批客户流失,无疑这对企业经营会造成重大的影响(参见图1)。因此,不管是外在因素还是内在因素,都增加了企业信息资产外流的风险,所以加强企业信息安全管理是必要的,迫在眉睫。

二、信息安全事故的原因

(一)对信息价值的认识存在着差距

1、由于对信息认识的不足。外部恶意攻击、木马及病毒感染,这是被最多人所关注的信息安全问题,大部分人所认为的信息安全问题其实也就是这个问题;内部泄漏,这是被大多数人容易忽视的信息安全问题,因为这类威胁大部分不会造成数据的破坏,而是敏感信息的泄漏,所以也是最难防备的问题。

2、对个人信息保护意识的低下。S银行的顾客数据,Q百货商品的会员卡会员数据,Y网络服务商的会员数据,这些个人信息竟然也成为T网站明码标价的商品,这给那些不法分子造成了可趁之机。据了解,犯罪分子根据不正当的途径得到的信用卡,会员卡资料很容易制造出伪卡、伪证件,其背后是利润可观的黑市。

(二)人才的流动化

退职的从业人员从事竞争对手企业的经营工作;退职的干部携带部下,到竞争对手企业工作;公司管理人员跳槽到竞争对手公司,将供应商清单等携带出去等都会给公司的经营带来及大的困难。

(三)IT化的进展

1、来自外部的非法侵入、盗听。上世纪九十年代信息安全隐患主要集中在业余黑客不定期的无商业目的的侵害,如:散发病毒、涂改网站等。而如今已演变成带有商业目的频繁犯罪,如:窃取IP地址和身份信息等。因此,信息安全问题不仅仅是IT部门的技术风险,更是触及到了业务生命线。

2、内部人员对数据没有处理好,对网络的滥用、误用。由于未将在公司内使用的过PC机的硬盘上的数据删去,有关内容被转售到二手市场中去,从而导致信息流出;将公司内电脑携带到外部而导致遗失、被盗;电脑失窃时,与电脑本身的价值相比,在电脑中保存的信息的泄露所造成的损失更大;向公司内部转送带有病毒的邮件,带有病毒的邮件的转送,并不是因为发送邮件者故意转送,而且由于没有更新病毒对策软件,所以造成病毒被随意地转送。在这种的病毒中,有些是转送电子文件的病毒,这不只是给对方添加麻烦,还将导致信息的泄露。

3、技术缺陷。由于认识能力和技术发展的局限性,公司在硬件和软件设计过程中,难免留下技术缺陷,由此可造成网络的安全隐患。网络硬件、软件产品多数依靠进口,如全球90%的微机都装微软的Windows操作系统,许多网络黑客就是通过微软操作系统的漏洞和后门而进入公司网络破坏重要数据,这方面的报道经常见诸于报端。

三、信息安全的对策

(一)加强信息安全教育,提高员工对信息安全的认识

“信息安全就是经营质量本身”,是非常重要的事项,也可以说是经营的根本。关于信息安全,有必要在各种各样的局面中进行教育,教育的对象,不只是针对公司员工,对于派遣员工以及外部作业者,同样要进行彻底的信息安全教育。教育是对全体员工的意识及风气进行改革,提高员工的信息安全意识。

(二)提交保守机密誓约书

员工在进入公司、晋升以及退职时,必须提交誓约书。其目的在于:再次彻底贯彻保守机密的重要性。必要时能通过法律的手段来追究泄密员工的行为,维护公司的利益。

(三)保护好个人信息安全

个人信息是客户和员工托管的重要信息,需慎重的处理,如果因为盗窃、散失等导致个人信息泄露,将会造成重大不良后果,从而失去信信任度。怎么保护好个人信息安全呢?首先,要正确理解个人信息,在本公司工作的所有人的相关个人信息,不管其是否与本公司业务直接相关,只要在某一过程中,公司获取了个人信息,就必须像对待客户一样加以管理;其次,要管理好个人信息,确保安全,可以采取如下措施:客户个人信息保管在带锁的柜子里,并限定可打开的柜子的人数,记录日志,实行电子化、设定开启密码等,发送邮件时要仔细检查,确保地址准确无误,以免把个人信息错发给他人;最后,对于个人信息废弃处理时要确保彻底,对于纸质媒质,要用碎纸机作破碎处理,对于电子媒质,要把数据彻底清除干净。总之对于个人信息,从获取到废弃,在整个生命周期中,都有必要进行严格的处理。

(四)利用网络、以及电子化信息时的注意点

公司应对下列行为做出明确规范,作为公司管理规章的一部分。(1)不要擅自从公司直接连接到外部网络中去,也不要随意拨号上网。如果擅自进行连接,就有可能出现病毒侵入的情况,成为黑客的切入口;(2)将防止病毒软件更新为最新版,每天都有新的病毒种类出现。如果感染上的话,就会给公司的业务带来障碍,除了将公司的信息泄露出去之外,还会向公司外的人发送病毒,给别人增添麻烦;(3)INTERNET出入口设置硬件放火墙,安装硬件防火墙,只开放企业内部应用所需要用防火墙将企业的局域网(Intranet)与互联网之间进行隔离。防火墙软件应及时升级,同时经常扫描整个内部网络,以发现任何安全隐患并及时更改,做到有备无患;(4)由于在公司的电脑上保存有公司的信息,原则上禁止携带外出。在业务上,不得不携带外出时,应遵守规定的规则签订有关协议;(5)原则上,请不要将数据保存在电脑上,而是保存在服务器上;(6)不应该只是将数据删除在垃圾箱中,还有必要对其进行物理性的破坏,或者使用专用软件完全地加以删除,使之无法复原。

(五)日常行为中的信息安全注意点

不管你是有意识还是无意识的,信息也很可能会从你的日常的行为中泄露出去。因此要养成好的习惯,以免从日常生活中泄露公司信息。(1)在公司会客厅里与来访客人会面,在进入工作单位(职场)时,一定陪同行动。对于搬运业者,请不要让其进入工作单位,而在指定的场所接收所搬运的物品;(2)虽然回收再利用是很重要的,但是不应该使用机密文件及限定公开对象的文件的背面来书写;(3)在会议室里,有时上一次会议的记载内容还留在写字板上。特别是对写字板的背面,也要加以注意;(4)复印的原件一定要收回,打印完毕之后,应该立即去取;(5)在餐饮店及电车里说话时要加以注意。特别是在喝了酒之后,精神容易放松,声音也变得大起来了,像这种场所,是调查公司收集信息的场所。

(六)对公司管理者的期望

管理者应重视信息安全,以身作则,自觉遵守公司信息安全规章制度,负责公司信息安全的推进与实施。对从业人员彻底地进行教育,防止事故于未然。在接收到事故报告时,应立即进行适当的处理,并向公司上一级信息安全推进负责人报告。作为管理者要强化信息安全的应用管理,信息安全就是经营质量本身,“认识的不足”、“觉得麻烦的心态”是致命伤,都会给公司经营带来困难。信息安全管理者应对所有员工的信息安全意识、风气进行改革负责,以使公司信息安全达到国家、国际标准。

总之,一套完善、合理的信息安全策略对于企业信息安全管理必定是益处多多。通过为企业的每一个人提供基本的规则、指南、定义,从而在组织中建立一套信息资源保护标准,防止员工不安全行为的引入风险。安全策略也为企业进一步制定控制规则、安全程序等奠定了必要的基础。信息安全策略还能够帮助信息管理部门在信息安全事件中减轻应承担的责任,提高信息安全保障,与企业的日常实践息息相关的。

参考文献:

1、林东岱.企业信息系统安全:威协与对策[M].电子工业出版社,2004.

2、范红.信息安全风险评估方法[M].清华大学出版社,2006.

3、安源.企业信息安全的新问题及对策[J].天然气与石油,2006(10).

4、潘爱武.浅议企业网络信息安全威胁与防范[J].科教文汇,2006(8).

篇7

1.企业信息安全事件发生状况

调查显示在过去的1年内(2012年1月~2012年12月),超过93.2%的被调查企业发生过信息安全事件,其中发生信息安全事件次数超过5次的占被调查企业的13.1%。这一调查结果表明,河北中小企业信息安全形势非常严峻,如何保护信息系统安全已经成为中小企业信息化建设首要面临的问题。

2.目前中小企业信息安全面临的主要威胁

调查发现,近1年内,82.1%的被调查企业遭受过病毒、蠕虫或木马程序破坏;47.3%的企业遭受过黑客攻击或网络诈骗;33%的企业遭受过垃圾邮件和网页篡改的干扰,还有28%的企业遭受的破坏竟然来自企业内部员工的操作。这一调查结果表明,病毒泛滥、网络诈骗、黑客攻击、垃圾邮件和来自企业内部员工破坏是河北中小企业面临的最主要信息安全威胁。其中,病毒和木马程序的破坏尤为严重,直接造成企业数据丢失、信息泄漏甚至系统瘫痪等后果,严重威胁着企业的信息安全。

3.企业信息安全保护措施现状

调查发现,93.7%的被访企业采用了杀毒软件进行病毒防护和监控,25.1%的被访企业装有入侵检测系统和硬件防火墙,54.8%的被访企业采用了身份认证技术和设置访问权限进行信息保护。同时,通过调查也发现,只有不到29.5%的企业有定期的数据备份,仅有6.9%的企业为重要信息进行了数据加密。这一调查结果表明:在信息安全技术防护方面,几乎被访企业都采取了信息安全保护措施,但是大部分企业却只停留在病毒防护和身份认证的水平上,而缺少数据完整性和数据加密等保护技术。

4.信息安全管理保障措施情况

调查发现,在信息安全管理保障措施方面,25.7%的被访企业设立了专门的信息安全部门及相应的专职管理人员,44.6%的企业制定了企业信息安全管理制度,只有8.5%的企业能够对信息安全状况进行定期的风险评估,而制定信息安全事件应急处置措施的企业却只有5.3%。这一调查结果表明:河北中小企业信息安全保障组织构架设立不完善、缺乏信息安全管理制度,定期的信息安全风险评估以及信息安全应急处置预案措施严重缺失。

5.信息安全经费投入状况

调查发现,23.5%的被访企业信息安全方面的经费投入占整个企业信息化总投资的比例低于5%,39.6%被访企业同样投资比例在5%~10%之间,只有38.5%的企业信息安全方面的经费投入已经超过企业信息化总投资的10%。这一调查结果表明:河北中小企业安全意识淡薄,信息安全经费投入严重不足,低于国外20%~30%的投资比例。

二、对策与建议

通过课题组调查发现,网络环境下河北中小企业的信息安全问题突出,主要表现在认识误区、资金不足、技术薄弱和信息管理制度缺失等方面,要全面解决,必须从法律、技术和管理等几个方面全盘考虑综合治理。法律、技术和管理三者相辅相成,缺一不可,才能共同保证中小企业信息系统可靠安全运行。

1.法律法规层面加强政府支持力度和引导力度

仅仅靠中小企业自身搞信息安全防护是远远不够的,在此过程中,政府的支持、鼓励与引导是至关重要的。因此,政府应不断完善信息安全相关法律法规的建设,加快网络安全的基础设施建设,加大打击网络犯罪的力度。同时,针对河北中小企业特点,当地政府应加大企业信息安全重要性的引导和宣传,让中小企业特别是企业的领导者,充分认识到企业信息安全的重大意义与作用,从而在日常企业决策中对企业信息安全建设投资有一定的倾斜,完善企业信息安全体系建设。从长远发展角度和战略高度来重视企业信息安全。

2.技术层面

设计实施多层次、多方位的网络系统安全保护技术,以提高企业风险防范的技术水平。风险防范是一个复杂的系统工程,从技术角度,建议从以下几个方面来实现:

(1)建立网络身份认证体系。网络环境下河北中小企业的各种商务活动,都需要对参与商务活动的各方进行身份的鉴别、认证,这就需要在企业内部建立网络身份认证体系来证实各方的身份,以保证网络环境下各交易方的经济利益。

(2)配置高效的防火墙。在企业内部网与外联网之间设置防火墙,从而实现内、外网的隔离与访问控制,在他们之间形成一道有效的屏障,是保护企业内部网安全的最主要、最有效、最经济的措施之一。

(3)定期实施重要信息的备份和恢复。企业要对核心的数据和应用程序进行实时和定期的备份工作。并把备份数据的副本存储在光盘上,这样就可以避免一旦发生安全事故关键的应用程序和数据丢失给中小企业带来的巨大损失。

(4)对关键数据进行加密。企业的各类数据和应用程序,是企业多年发展中积累下来的宝贵数据资源,也是企业决策的重要依据。因此,要对这些关键数据进行加密处理,以提高数据的安全性,防止企业私密数据信息被泄露和窃取。

篇8

 

随着信息科技的高度发展,越来越多的企业引进了基于计算机网络的信息管理系统,信息系统的引入提高了企业的工作效率,同时也带来了不可避免的安全问题,做为国家重要基础设施行业之一的电力企业,信息安全尤为重要,不可忽视。

 

信息安全隐患不仅是一 个技术问题,也不单是一个管理问题,它不光涉及到信息从业人员,更多的是覆盖所有使用计算机的终端用户。因此,明确信息安 全隐患排查治理的内涵,确立信息安全隐患排查治理的方法和流程,是做好隐患排查工作的重点。

 

一、供电公司信息安全隐患分析

 

引起信息安全造成危害的因素是多方面的,从某种角度来讲,信息安全隐患存在的过程就是信息安全管理的过程,而信息安全管理过程中,涉及到人和物两个方面的因素。因此,我们可从以下几个角度来进行探析:

 

(1)由人引起的安全隐患

 

参与到供电公司信息安全系统操作过程的职位有:操作人员,维护人员,开发人员,网管和用户等。如果在此环节中,容易导致出现安全隐患的原因有:其一,工作人员信息安全管理知识不夯实,技能掌握不全面,难以将切实的信息安全管理工作落实下去;其二,信息安全管理制度不完善,各个部门之间的权责划分不明确,难以做到有重点,有层次的进行信息安全管理 工作;其三,信息安全管理系统配套设施管理不善,尤其是交换机,路由器和防火墙的配置存在不合理的地方,由此也会出现信息安全隐患;其四,惯性违章的行为,如病毒软件卸载,系统补丁不全,信息安全隐患不断出现。

 

(2)由物引起的安全隐患

 

用户信息安全管理意识淡薄,常常出现习文件权限管理不善等,由此使得供电企业其一,从通信线路可靠性的角度来看,主要涉及到物理设备安全,机房安全和通信线路安全等内容,如果此方面出现运行状态不佳的情况,势必会造成比较严重的信息安全问题;其二,软硬件由于质量,使用期限的问题,出现了各种各样的故障,从而难以满足信息安全系统的运行需求,由此也会造成严重的信息安全隐患;其三,网络设备不安全隐患,也会带来诸多安全隐患;其四,软件本身的安全漏洞隐患和病毒带来的不安全隐患。

 

二、供电公司信息安全隐患的排查

 

1.隐患排查目的和范围

 

(1)隐患排查目的。排查目的旨在排除重点部位、关键环节、关键部位的隐患,将检查工作落到实处,通过信息安全检查,提高网络和信息系统的可靠性。

 

(2)隐患排查范围。按照作用对象分类分为设备质量、信息技术管理、信息安全行为性3类确立信息安全隐患的排查和治理范围。其中设备质量范围对象包括:信息基础设施质量隐患:网络设备、主机以及其他信息设备质量隐患。信息技术管理范围对象包括:软、硬件设备安全性测试技术和方法欠缺:信息技术管理和设备运行管理的制度 不完善。信息安全行为性范围对象包括个人终端计算机使用管理、移动设备丢 失和滥用、非法外联等违规行为导致的数据泄密和病毒泛滥安全隐患。

 

2. 信息安全隐患排查的方法

 

针对于不同的信息安全隐患,应该采用不同的信息安全隐患排查方法,以保证做到具体问题具体分析。具体包括:

 

(1)隐患排查方法。信息安全隐患排查,需按照信息专业所辖设备和技术管理职能进行分工,采取信息隐患排查表法和信息安全督查方法进行。一是信息隐患排查表法。它把信息安全隐患所涉及的安全元素和检查项目用表格系统的方式罗列出来,逐项对照检查评审的方式,是隐患排查最常用的方法。

 

(2)信息安全督查法。主要采取日常督查、专项督查和年度督查相结合的方式。利用安全监控、内容审计、安全扫描等多种技术手段开展隐患排查。

 

①日常督查。 结合日常开展督查工作进行信息安全隐患排查工作。

 

②专项督查。根据特定时段、特定事件而发起的信息安全隐患排查。

 

③年度督查。年度排查结合日常督查、专 项督查,由公司督查组组织专人,按照国网公司《信息安全年度督查方案》通过 访谈、查看文档、技术检查以及工具扫描等方式进行现场督查。督查结束后,督 查组将督查结果和整改建议形成《信息安全技术督查整改通知单》,并于当月底,通过《信息安全技术督查通报》对督查结果及整改情况进行通报。

 

三、供电公司信息安全隐患的治理

 

1.运行中的设备隐患治理

 

(1)信息网非常态运行况下(设备检修、新主干设备接入信息网、技术改造、受灾等)可能存在的动态隐患,由信息部门组织信息专业人员,在设备调整前进行认真分析,制定隐患预控方案,实施预控措施。

 

(2)信息网正常运行况下存在的运行方式隐患。由信息安全技术监督组成员提出事 故预想,加强信息网运行监视,使隐患可控、能控、在控。

 

(3)对在特殊条件下可能出现设备、线路超限额运行的隐患。信息安全技术监督 组成员应提前进行分析,提出备用控制预案,由当值运行值班员进行控制。

 

2.系统安全隐患治理

 

(1)对于操作系统漏洞存在的隐患,由信息部门利用技术手段,桌面管理系统实时 向各客户端机器进行推装,并不定期组织相关技术人员进行抽检,预防隐患发生。

 

(2)结合信息安全日常督查的工作对于服务器端操作系统的安全策略进行检查并 优化,对策略的调整上报信息主管部门备案。

 

(3)对于各业务应用系统的隐患,由相关业务部门负责治理,应用系统相关权限的设置以及废弃用户的处理,由相关 业务部门进行治理,上报信息主管部门备案。

 

3.对用户行为性而引起的隐患治理

 

此类活动是由用户习惯性违章而造成的安全隐患,由信息部门督促用户进行整改。具体包括:1)采取多种方式开展用户信息安全知识的培训,通过公司主页进行宣传、发放信息安全知识手册、及时转发上级下发的有关信息违规通报,提高终端用户 的信息安全意识。2)通过桌面系统对用户弱口令情况进行不定期检查,由信息主管部门进行通 报,对违规用户由公司对所在部门进行考核。3)不定期对自行安装操作系统、卸载防病毒软件、不安装桌面管理客户端的用户进行抽查,如发现一例要进行严肃处理。由公司进行通报。对违规用户由供电公司对所在部门进行考核。

 

4.重视信息安全隐患排查人才培养

 

供电公司信息安全隐患排查和治理工作的开展,需要重视企业信息安全隐患排查和治理人才的培养,以保证其有效性和安全性。

 

具体来讲,我们可从以下角度入手:其一,严格把握信息安全管理人员的招聘和选拔过程,从根本上控制企业信息安全管理队伍的综合素质;其二,积极组织开展全面的信息安全隐患排查人员的培训和教育,实现其综合排查技能的提升,以保证切实的将各项工作落实下 去;其三,给予公司信息安全隐患排查工作人员合理的待遇和薪酬,并且建立高效的绩效考核制度,以此激发信息安全隐患排查人员的工作积极性。

 

综上所述,供电公司信息安全隐患排查和治理工作,不仅仅关系到供电企业信息系统的正常运行,而且还关系到供电公司经济效益的提高。虽然现阶段在信息安全隐患排查和治理方面还存在很多的缺陷和不足,但是相信随着经验的积累,供电企业信息安全隐患排查和治理工作质量一定会得以全面提升。

篇9

刘保华:美国2003年推出萨班斯法案以来,越来越多的公司开始按照这个法案的要求执行。在你看来,现在

执行的总体情况如何?

任家明:在美国,大公司的IT治理已经比较成熟。它们往往有很多年的经验,但萨班斯法案的遵从也需要一段适应时间。这些公司一般都从财务方面着手,它们可以遵从一个叫COSO的框架。在《COSO内部控制整合框架》中,内部控制被定义为 :由企业的董事会、管理层和其他人员参与控制的过程,旨在为下列目标提供合理保证:(1)财务报告的可靠性;(2)经营的效果和效率;(3)符合适用的法律和法规。《COSO内部控制整合框架》把内部控制划分为5个相互关联的要素,分别是控制环境、风险评估、控制活动、监控以及信息与沟通。其中每个要素均承载3个目标:经营目标、财务报告目标和合规性目标。

但是,很多企业在实施过程中发现,从IT角度看,上述框架用不上。COSO主要是财务方面的框架,但是很多公司的管理层都对一个问题非常头痛:他们并不懂IT治理。很多CEO从一开始就觉得IT治理不是管理层该管的事,只是IT部门的事情。这个问题在中国、日本、美国都很普遍。

刘保华:我们知道一个叫Cob的IT框架和萨班斯法案有密切的关系。你能否介绍一下Cob IT的框架?

任家明:IT治理研究所(以下简称ISACA)特别制定了一个针对IT的框架――Cob IT。这个框架在1995年开始被企业采用。在萨班斯法案之后,很多IT或者财务方面的人士都知道这个框架。但是,银行、保险、制造业等企业要熟悉这一框架,还有一段路要走。

2007年,日本有一个叫J-sox的法案出台。这个法案和美国的萨班斯法案非常相似。

刘保华:IT治理很重要的一个工作就是加强培训。我发现很多国际大公司对培训工作非常重视,IT内控治理的需求非常大。目前ISACA在培训方面的工作开展得如何?

任家明:萨班斯法案是从美国开始推行的,美国的经验会影响其他的国家。欧洲现在有了Euro-sox、日本有了J-sox、韩国有了K-sox,中国将来也可能有类似的法律。美国企业的做法对世界其他国家的影响很大。你如果了解了美国企业怎么做,对于将来如何较好地应对挑战,非常有好处。

法规遵从 中外存异也求同

对于不同国家的企业,IT治理要走不同的道路。在中国,我们也应该走中国特色的IT治理道路。但是对于全球IT治理共通性的话题,同样需要认真研究。

刘保华:萨班斯法案推出以后,我们做过很多报道。而且,我们发现这个法案对国内企业的影响非常大。现在该法案推出已经近6年了,你觉得中国企业应该注意哪些问题?

任家明:在美国,监管的工作大同小异。而在中国,由于不同地域的差别实在太大,在监管方面也出现千差万别的情况。因此你要明白这些差异,才能合理应对。这也是为什么中国企业不能照搬很多美国企业经验的原因。所以,现在很多公司在合规的时候,都是找香港公司帮忙。这些公司有美国和加拿大的经验,而且也了解国内的现实情况。

刘保华:中国内地企业在做萨班斯法案合规的时候,普遍反映没有合适的人来做,怎么办?

任家明:其实这是目前IT治理最严重的一个问题。ISACA在香港有超过3000个委员,但在内地却只有不到1000个委员。香港总人口只有700万人,而内地却有13亿。比较一下可以发现,内地的人才缺乏是很严重的。同时,现在国内的教育机构也还没有来得及培训出足够的人才。

我看到深圳、广州很多公司的监管者,他们也想做类似美国萨班斯法案的监管,同时他们也推荐公司的管理层去做类似的公司内控的评估,但是他们找不到相应的人才,没有合适的会计师。

就连全球4大会计事务所在中国也是这样的情况。他们在中国现在每天都在招人,但苦于找不到足够的人才。除了会计师不够,咨询师也不够。这个情况和美国也类似。以前美国也没有足够的人才,他们只有找内部的咨询人员来做,但后来慢慢就跟上了。在内地找IT治理的咨询师,同样很难。

所以要想做好IT治理,一方面需要足够多的咨询师,另一方面需要足够多的会计师,两者缺一不可。至于监管框架的制定,有美国等发达国家的经验,制定起来会很快。同时,IT治理关键还是需要国家来推进。

刘保华:除了人才的问题,如何对IT治理的效果进行阶段性的评估,也让很多企业非常头痛。你怎么看这个问题?

任家明:美国企业一般有3个层次的评判:第一,你有没有材料的审阅者;第二,根据材料模型,按照5个不同层次的要求将材料整理清楚;第三,把整理出来的材料,按照要求建立档案。

信息安全是IT治理的基石

信息安全是一个系统工程,它和IT治理息息相关,是IT治理的基石。对于企业的CEO和CIO来说,IT治理很重要的工作是通过IT治理来保证企业信息交互的安全可靠。

刘保华:你觉得一个比较完善的信息安全的生态系统和IT治理是什么关系?

任家明:不同的企业对信息安全和IT治理有不同的理解。很多国内的企业都习惯从技术的角度来考虑信息安全的问题。

在香港,很多公司都认为信息安全有三宝,首先是反病毒软件,其次是反间谍入侵软件,最后是防火墙,认为有这三宝就足够安全了。但是,我们做了测试后发现,有了这三样以后,仍然存在大量的信息安全漏洞。其实,一个完整的信息安全系统需要很多其他的东西,比如人才、流程等等,技术只是其中的一个工具而已。

比如,SAP、Oracle等公司都已经有了一些很成熟的ERP软件,它们在信息安全方面也考虑了很多。但是,公司如何根据自己的情况来进行安全部署,仍然是一个很大的问题。

刘保华:我们都是在一个开放的空间运作企业。为了应对开发环境的安全挑战,现在很多IT解决方案提供商都提出了自己的方案,比如微软提出“纵深防御体系”,赛门铁克提出“端到端的防御”。你怎么看上述情况?从IT治理的角度,如何保证上述环境的信息安全?

任家明:如何控制风险,其实并不是太难的事情。使用有线网络的时候,我们可以顺着网络线来找问题,而现在员工都用无线网络,安全的复杂性又增加了。

英国前不久做了调查,很多英国公司员工的IT账户和密码都可以很轻易地通过公司IT内部的无线网络获得。当公司主管通过无线网络传递一些涉及公司秘密的信息时,就存在很大的安全风险。

这些问题其实在全球的公司中都存在。解决问题的关键在于要找一个专业的机构对公司的IT系统做一个风险的评估。有了这个评估之后,公司主管就知道问题所在,从而制定相应的解决方案,并把最重要的资源用来解决最重要的问题。

IT治理人才现在将来会很贵

根据ISACA的统计,能够帮助公司进行法规遵从的人才全球大概不到5万人,而全球的需求目前已经达到20万人,而且这个数字会随着越来越多的国家在IT治理方面的立法和公司对IT治理的重视而提高。

刘保华:一个企业如果要进行IT治理花费很高。我听说现在中国在IT治理上的成本要高于美国,是吗?

任家明:企业在中国做合规所要花的钱,现在的确要比美国多。因为在美国有很多相关的人才,而在中国,懂英语(很多材料都是英文的)、懂财务、懂IT等等知识的复合型人才非常少,所以很贵。

将来,如果中国有类似萨班斯法案的法规出台的话,这类人才的薪酬一定会飙升得很快。所以我经常跟我的朋友讲,如果你想赚钱,多学一点IT治理的知识是一定有用的。我认为中国虽然现在没有类似的监管法规出台,但随着中国资本市场的成熟,随着中国市场和世界市场的日益接轨,3到5年之后,中国应该会有类似的法案出台。

刘保华:关于ISACA在中国的发展你们现在有什么具体的计划?你们如何与国内的大学进行合作,并把IT治理融入到大学的课程中。如何把美国的课程较好地引入到中国来,从而使其更加符合中国的国情?

任家明:ISACA目前在中国已经有三个分会,分别在中国的香港、台湾和澳门,但在中国内地还没有分会。将来我们会从几个方面来推动ISACA的发展。我们注意到,中国企业最需要的是最新的信息,但是目前的情况是信息太多,多到它们根本没有足够的时间去看这些信息。另外,这些信息全都是英文的,也影响了国内企业的阅读吸收。

所以我们有两方面的工作要做。一方面,我们会利用香港的资源,把香港的经验引入内地,我们首先会制作中文网站,内容也更符合国内市场;另一方面,我们也会在内地寻找合作伙伴和顾问。

我们有很多很好的标准、框架、白皮书、文案等资料,这些都是非常好的内容,中国相应的工作人员都是需要的。我们现在正在把这些资料翻译成中文。

目前,我们现在有三个不同的认证,第一个是CISA,是一个IT审计员的认证;第二个是CISN,是一个公司信息安全的认证;第三个是IT管制的认证,我们才刚刚开始做。目前全国只有100人符合这个认证的要求,而前两个已经有超过千人获得了。

记者手记:将IT治理化为企业的核心竞争力

今天,IT已成为企业业务发展和管理不可或缺的重要组成部分,其作用和影响力已从单一的业务部门扩散到企业与组织的每一个领域。在IT系统给企业带来活力、利润和竞争力的同时,也给企业增加了因此而带来的风险――日益依赖IT系统的企业面临着因IT系统故障导致的业务灾难。如何最大限度地降低IT对业务的负面影响,IT系统如何充分为企业战略目标服务,如何获得IT价值最大化,这是每个企业都必须直接面对的问题。

随着众多安全法规的不断推出,越来越多的企业开始关注法规遵从与企业信息安全的关系。与此同时,利用IT治理与安全架构,企业可以在很大程度上防御IT带来的信息安全风险。

信息安全架构与IT治理密不可分。假如把信息安全治理比作指引组织进行安全项目的路标,那么安全架构和设计便是组织通往信息安全这个目标所用的交通工具的基本结构。没有了信息安全架构,IT治理根本无从谈起。

篇10

(1)IT治理风险。IT治理风险的宏观体现是最高管理层对信息化理解的不确定性、以及企业领导力影响的不确定性;微观体现是缺乏制度化与标准化的约束,缺乏部门之间及流程之间协调、沟通的机制,造成IT系统与业务需求的脱离,以及IT系统和企业信息资源间的孤立。

(2)遵从性风险。指企业内部IT策略与外部法律法规的遵从(Compliance)所导致的风险。伴随信息技术的发展,国内外出台大量法律法规加强了对信息系统的监管。例如,2002年美国国会的《萨班斯—奥克斯利法案》虽然没有直接明确对信息系统的要求,但据统计,企业在实施符合法案要求的工作中,信息系统方面的工作量占比超过40%;2006年中国银监会《电子银行业务管理办法》和《电子银行安全评估指引》,也直接对技术风险较大的电子银行提出了进行独立的或相对独立的信息系统审计的要求。

(3)信息安全风险。企业信息系统不断开放和复杂,使得信息安全面临来自内外部的严峻挑战。针对企业信息系统的攻击方式简单易学、攻击对象身份隐匿,造成企业信息安全风险极易转化为现实的业务威胁,如支持员工移动办公给企业资产安全性和可用性带来的压力倍增,许多敏感机密信息被轻易泄露。

(4)可用性风险。可用性风险主要来自三个方面,一是IT平台系统自身漏洞导致的系统停机事件越发难以掌控;二是由于事件管理、变更管理、配置管理、连续性计划等IT服务管理流程缺失或不到位,导致IT系统不可用;三是来自自然的灾害威胁着IT系统的可用性。

(5)绩效风险。若IT投资行为不能带来合理的回报,如规划不当、控制不严等,将使组织面临巨大财务风险。同时,如果对IT的投资绩效和运行绩效不能进行有效测量,就不能有效地发现存在的问题,并采取针对性的改进措施。随着信息系统日益成为企业经营成功的核心,且贯穿在完整的流程过程中,企业业务和支撑业务的信息系统愈加无法分割,形成有机的整体。因此,IT风险带来的挑战不仅影响到信息系统本身,也同时会影响到业务的稳定运行及发展,更有可能影响到外部的业务客户。在应对这些IT风险时,传统的方式大多是采用事后反应式的控制措施,使得技术人员疲于应付各种层出不穷的风险,且在面对制度、流程、人员行为等方面带来的风险时,传统的控制方法存在明显不足,而降低企业IT风险的关键是需要有一个主动、科学的风险管理体系。

2企业IT风险管理及其标准指南

企业IT风险管理是围绕企业信息化战略目标,通过在信息系统的规划、开发、运行、维护、监控与评价的各个阶段中降低企业风险的科学化管理流程,包括风险管理的策略制定、风险的识别、风险的评估、风险的处置等环节,以达到企业信息化可持续发展的目标。一个科学的IT风险管理体系是一个具有前瞻性、全局性的控制机制,能综合防范和应对IT治理、法规遵从、系统可用、信息安全、IT外包、业务连续性、IT绩效等诸多方面的企业风险,并能使企业IT战略与企业综合战略相融合,以实现有效益、可持续的信息化发展。信息社会环境下,无论何种规模、什么类型的企业,都需要面临围绕信息系统制定一套管理体系和控制指南,有效地管理企业面临的各种各样的风险,并随着业务环境的变化和新技术的发展及时更新。

在此方面,国内外已经有一些较为成熟的企业IT风险管理的标准或指南。例如美国反虚假财务报告委员会(COSO)于2004年颁布的《COSO企业风险管理框架》,此框架要求企业管理者以风险组合的观点看待企业风险,对包括IT风险在内的所有风险进行识别,并采取措施使企业所承担的风险在风险容纳量(RiskAppetite)的范围内。而美国信息系统审计与控制协会的COBIT标准自1996年诞生以来已经更新到了第四版,已成为全球通用的信息系统审计标准,该标准每一次更新都在不断强化IT风险控制的目标内容,为企业信息系统安全审计提出了具体指导。此外,国际知名的信息安全标准也都提出了各自的IT风险管理控制框架,包括ITIL(Infor-mationTechnologyInfrastructureLibrary,信息技术基础架构库)、ISO27001(信息安全管理使用规则)、CMMI(CapabilityMaturityModelIntegration,能力成熟度模型集成)、Prince2(ProjectsINControlledEn-vironments,受控环境下的项目)等。

近年来,我国的信息化主管部门以及各行业也积极加强了企业风险管理。以金融业为例,2004年9月银监会了《商业银行内部控制评价试行办法》,其中包括了对银行计算机系统的IT风险控制要求;2009年银监会出台了《商业银行信息科技风险管理指引》,2011年银监会了《商业银行业务连续性监管指引》。与此同时,其他行业监管部门也已经或计划出台类似的风险管理措施。上述标准或指南为企业IT风险管理提供了原则指导和对策框架,如何将这些原则性建议与企业自身的工作实际相结合,如何将IT风险管理融入常态化的企业管理机制,仍然是企业管理实践中的难点。因此,本文以我国企业IT风险管理的先行行业———金融业的管理实践为例,详细探讨企业IT风险管理的体系结构及其关系,并就企业IT风险管理的实施提出具体建议。

3企业IT风险管理的体系框架

企业IT风险管理框架通过对企业信息安全各个层面实际需求和风险的分析,引入恰当的安全控制措施,并且同信息系统审计相结合,从而保证企业信息资产的安全性、完整性和可用性。企业IT风险管理框架可分为风险治理、风险评估和风险应对三个主要的方面,并通过风险沟通和监控等手段将三方面有效结合。该体系框架遵循PDCA(Plan、Do、Check、Act)的管理模式,能确保企业IT风险管理始终保持在可持续发展的轨道上,并通过阶段性地进行信息系统审计,以发现存在的偏离,及时调整到信息化的最终目标上来。

3.1风险治理

主要内容包括建立基于风险的信息科技决策、定义风险策略、建立风险组织和风险整合等内容。例如宣传IT风险对于决策的价值、将IT风险考虑纳入业务和IT决策、整合IT风险策略和业务风险策略等都属于风险治理的内容。

3.2风险评估

主要内容包括风险识别、风险分析和风险维护等内容。诸多国际标准都提出了信息安全风险评估的标准,如ISO27001(信息安全管理体系规范)、ISO/IECTR13335(信息技术安全管理指南)、NISTSP800-30(信息技术系统风险管理指南)等,可作为企业实施风险评估实践的参考。风险评估包括识别具体的风险管理对象、识别风险、根据模型进行评估、识别现有控制、分析剩余风险等步骤。风险维护就是对企业识别出的风险进行管理,跟踪风险处置情况,更新风险清单,可通过创建和维护风险数据库来实现。风险维护也是风险评估的重要内容,以实现对风险的持续管理和改进。

3.3风险应对

风险应对就是对已识别的风险进行评估后,制定并落实相应的措施和整体策略,使剩余风险处于可控的范围。风险应对措施包括接受风险、转移风险、避免风险和降低风险。风险应对活动包括确定风险处置方案、实施风险处置、响应和处理风险事件等。

3.险监控/沟通

风险监控/沟通是链接企业IT风险管理各要素的关键环节,是企业IT风险管理体系得以运转的重要方面,包括建立和运行风险指标体系、IT风险内部监督体系、风险报告体系以及风险沟通渠道等。风险管理需要从管理层到普通员工的共同参与,这需要将风险直观准确地展现、横向和纵向的沟通、并持续进行监控。

4企业IT风险管理的实施步骤

为了推进企业IT风险管理体系的实施,本文在总结金融企业信息系统安全风险管理的实施过程,得出企业IT风险管理可行的实施步骤,具体包括识别管理对象、风险识别、风险分析评估、风险应对、风险监控/沟通等五大关键步骤。

4.1管理对象识别

明确风险管理对象是企业实施风险管理的首要步骤,本文提出风险地图(RiskMap)的概念,即实现风险评估对象的可视化,明确识别出全部或特定领域的所有管理对象,只有保证企业风险地图的全面性和准确性,才能准确识别并标示出IT风险所在的位置,从而进行有效的管理,一个全面的IT风险管理可从如下三大维度进行风险管理对象的识别:(1)从资产的角度进行识别,即对组成信息系统的系统、设备和数据等信息资产进行全面识别和统计,具体实施细则可参照ISO27001。(2)从管理领域的角度进行识别,如变更管理、事件管理、配置管理等,具体实施细则可参照COBIT。(3)从服务的角度进行识别,具体实施细可参照ISO20000执行。

4.2风险识别

风险识别是通过科学方法了解企业所面临的IT风险,分析风险的来源、性质,并进行风险处置和风险管理。风险识别通常采用以下方法:(1)头脑风暴;(2)德尔菲方法;(3)故障树分析法,又称分解分析法;(4)业务流程分析法;(5)情景分析法;(6)专家预测法,包括个人经验法、专家会议等形式;(7)筛选、监测、诊断法;(8)资产财务状况分析法。其中,德尔菲方法是最常用的IT风险分析方法之一,具体是指采用“背对背”的沟通方式征询专家小组成员的预测意见,经过几轮征询,使专家小组的意见趋于集中,最后做出合理的预测结论,利用德尔菲法进行IT风险分析的具体流程如下。除了按照上述方法识别风险,也可直接从风险来源入手建立企业的IT风险清单,如行业公认的风险清单、监管要求、监管机构风险提示、过往事件、自我或外部风险评估结果、内部审计发现、管理层和内部员工在工作中的认识等。

4.3风险分析评估

IT风险分析评估是根据一定的评估模型,评估企业IT固有风险值、控制风险值,再根据固有风险值和控制风险值计算出剩余风险值。风险分析是IT风险管理中较难实施的一个环节,尤其是评估模型的制定,可以采用较易开展的定性方式,也可采用准确度较高的定量计算,也可以定量和定性综合使用。以下是一种较为通用的风险分析模型和流程,可以对风险进行量化评估,具体流程包括:(1)计算固有风险值。从影响程度和发生可能性两个维度进行评分,可得出固有风险分值。如下是风险评估的量化模型和公式。其中风险评分从影响程度和发生可能性两方面进行计算,并给出影响程度和发生可能性两方面的评估参数示例。(2)计算控制风险值。结合现有控制评估的结果,从设计、执行、补偿性控制三个层面,参照衡量标准,最终确认控制风险分值。(3)计算剩余风险评估。在获得每一个风险的固有风险等级和控制风险等级后,可根据矩阵获得剩余风险等级值。

4.险应对

首选需要确定管理层的风险偏好等级。风险偏好是为了实现目标,企业在承担风险的种类、大小等方面的基本态度。然后根据剩余风险评估结果及风险偏好,依据内外部需求,并结合实际情况,针对剩余风险提供恰当的控制改进建议,以将剩余风险降低到可接受的水平。风险处置措施包括接受风险、转移风险、避免风险和降低风险。在风险处置计划方面,一方面需要体现可操作性,如分为短期(半年),中期(1年),长期(2-3年),同时也需要考虑多个维度,如组织架构、人员、制度流程和技术等。

4.5IT风险监控/沟通

风险指标是有效进行风险监控和沟通的重要手段。指标是一种可量化的、被事先认可的、用来反映组织目标实现程度的重要标识,是绩效管理的有效手段。企业IT风险管理引入指标体系,可以促进整个活动的有效开展。指标的功能主要表现在以下三个方面:(1)在准备阶段,可以清楚的反映目前企业的信息安全现状,并为制定目标提供依据;(2)在实施过程中,阶段性地反映进展情况;(3)便于各层人员把握活动的进展情况:使高层领导清晰地了解关键要素的进展和改进情况;使管理者集中精力于对活动中的重要和关键要素,及时诊断活动中出现的问题并采取措施。在实践中,应针对关键的风险领域,即根据企业及领导层的风险偏好,建立可监控、可量化的IT关键风险指标。IT关键风险指标来源可包括内外部监管机构数据、自动监控平台数据、IT风险检查果、IT风险自报结果等。关键风险指标可分为风险指标(KRI)、控制指标(KCI)。以变更管理的风险管理指标,可设置紧急变更次数、变更失败比例、变更导致的事件数量等,针对每个变更管理风险管理指标,制定出相应的控制指标,如预警阀值和容忍阀值。

5结语

篇11

(1)检查单位多、标准不一目前,供电企业经常面临着诸如安全等级保护、IT治理、安全督查、一体化风险评估、入网安评等合规标准的检查和执行问题。以上检查标准的关注点、执行单位、检查要求各不相同。

(2)检查手段、结果重复每年国家、行业或上级单位会定期下发相关检查要求,并通过现场检查、远程扫描、配置核查、渗透测试等手段对供电企业进行合规性安全检查,检查内容和结果容易存在一定的重复性,建立和整合统一风险库也存在一定难度。

(3)安全合规工作繁重供电企业安全人员在执行安全合规工作的过程中,不可避免地要在每次合规检查中面临自查、加固、迎检、整改、复查等一系列工作,当此系列工作在一定时间内重复出现的时候,合规管控工作将变得繁重且效率不高。

(4)相关人员协调难度大信息安全管控工作往往跨越多个部门,横向沟通成本较大、难度也高。最常见的问题就是实施方和相关配合人员因关注点不同而导致的工作分歧,若合规检查时需要相关部门及人员多次重复性工作,往往导致人员情绪抵触并影响工作效率。

2多标准合规管控概念的提出

针对以上信息安全合规管控工作中遇到的难题和挑战,本文提出了多标准合规管控的概念,试图通过对各个合规标准进行研究和学习,探寻一条可以减轻合规管控过程中工作量繁重、重复的道路,研究一套把多个合规标准整合和统一的方法论。多标准合规管控,就是以现有的信息安全等级保护、IT治理、安全督查、一体化风险评估、入网安评、安全基线等标准为理论和参照基础,通过进一步的比对梳理、分析、加工和整合,形成一个更具体的安全执行标准库,覆盖目前所有的检查要求,是所有检查标准的最大并集,利用此执行标准指导信息安全的合规管控工作,争取达到一次配置满足多个标准的目的。

3多标准合规管控体系建立

本文以信息安全等级保护、IT治理、安全督查、一体化风险评估、入网安评、安全基线等标准为理论和参照基础,阐述多标准合规管控体系的建立过程。建立PDCA过程指导思想:通过对现有各个合规标准的体系文件、测评要求、规范标准进行对比、分析、梳理和整合,制作出多标准合规管控体系的相关组件文档,具体包括体系文件、配置方法、规范标准。主要研究步骤如下:

(1)理解各信息安全检查的要求、目的和目标

①安全等级保护信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

②IT治理IT治理是企业治理在信息时代的重要发展,用于描述企业或政府是否采用有效的机制,使得IT的应用能够完成组织赋予它的使命,同时平衡信息技术与过程的风险、确保实现组织的战略目标。

③安全督查信息安全督查是供电企业根据国家信息安全管理体系要求、结合供电企业信息技术监督规范的要求建立的日常工作机制,负责各单位的信息安全技术指导、监督、检查、督促改进等工作。

④入网安评为保障信息系统的正常运行,需加强系统及设备入网管理,规范新设备入网前的相关活动并进行安全评测,保障每一台入网设备都符合企业安全规范要求,不会给现有网络带来新的安全隐患。

(2)对各合规标准进行对比分析,找出异同点通过仔细的分析对比,找出各合规标准要求项的差异并进行标注,研究差异的原因,探讨差异点存在的价值。由于企业安全基线经过多年的实践和修正,具有较高的规范性和实操价值,符合供电企业的IT现状,故以安全基线文档为底板进行增删减优化操作。

(3)整合和梳理各合规标准,形成备查项将各合规标准整合到统一文档表格中,并以安全基线、等级保护测评要求文档为主要参照物,对其他合规要求进行梳理和排序。通过不同标准文件对相同控制点的不同描述进行再加工,整合出一个覆盖各个标准要求的执行标准。此步骤不仅方便标准集合的制作,也保留了各个标准要求的原貌,方便日后查阅检索。下表示例说明某个信息安全控制点执行标准集合:

(4)整合多个合规标准,形成具体执行标准要求通过上一步骤对统一文档产生的执行标准集合进行提炼和整合,排序形成涵盖多个合规标准的具体执行规范文档。

4多标准合规管控设计重点难点分析

(1)设计过程考虑最小和最大安全保障问题信息系统安全基线是一个信息系统的最小安全保证,即该信息系统最基本需要满足的安全要求;而信息安全执行标准在某一个程度上是一个信息系统的最大安全保证,即信息安全执行标准已经覆盖了合规管控的多个标准要求。如何在最小安全保证和最大安全保证之间进行取舍与平衡,是企业面临的首要问题。本文建议解决办法是保留各个标准的要求文档,供执行人员备查,在实际执行过程中根据系统级别进行相应的取舍。

(2)设计过程考虑结果文档的来源问题信息安全执行标准是一个实践性文档,在实践的过程中难免会存在疑问和顾虑,如何快速并准确地定位到配置要求的来源和依据是面临的第二个问题。由于短期无法一次性创造一个安全合规体系,只能先对多个标准体系进行整合和梳理,因此建议保留初始合规标准的原型,在执行人员出现疑问的时候能够找到相关的依据。

5结语

篇12

 

1 综合治理信息安全的战略背景

 

IT管理技术发展历程,从被动管理转向主动管理,从服务导向转向业务价值。在科学的IT管理方法论方面形成了一系列标准:诸如ITIL/ITSM以流程为中心的IT管理行业标准;ISO20000ITIL 的国际标准; COBIT面向IT审计的IT管理标准;COSO企业内部控制框架,面向内部控制;ISO17799:信息安全管理国际标准。当前有很多非常好的综合性标准与规范可以参考,其中非常有名的就是ISO/IEC27000系列标准。ISO/IEC 27001通过PDCA过程,指导企业如何建立可持续改进的体系。

 

目前企业IT运维管理现状。需求变化:IT本身快速变更;管理目标多角度变换并存。资源不足:IT 复杂性成长快于人员成长;IT 人员持续流动。业务影响:难以判断事件对业务的影响和处理事件的优先级。信息孤岛:IT 资源多样性的,不能进行事件的关联分析,缺少统一的健康视图。IT网络与信息系统运维存在监测盲点,缺少主动预警和事件分析机制。

 

如何把此项复杂的工程进行细化与落地,建立信息安全保障框架?在企业有限的IT资源(包括人员、系统等)等的前提下,IT运营面临严峻的挑战,企业多半缺乏信息系统应用开发能力,在很大程度上依赖于产品开发商的支持,为此,要想实现从混乱到清晰、从被动到主动、从应付到实现价值取向的服务思想,自主加外包的混合运维方式无疑是一种好的服务方式。

 

2 建立和实施信息安全保障体系思路和方法

 

针对IT管理问题和价值取向的服务方式,借鉴PDCA工作循环原理和标准化体系建设方法,从建立安全目标和组织体系、制度体系和技术体系等三个主要层面构建实施信息安全保障体系,以规范引导人、以标准流程引导人,以业绩激励人,从而促被动变主动,坚持持续改善,促进工作效率,促进安全保障。

 

2.1 建立和推行目标管理

 

体系建设应以目标管理为先导、循序渐进,按顶层布局、中层发力、底层推动内容设计与构建,为此,借鉴当前IT运维管理目标演进方式,确立各阶段建设目标。

 

基础架构建设阶段(SMB),手工维护阶段。主要实现IT基础架构建设。

 

网络和系统监控(NSM)阶段,重视自动化监控阶段。主要实现IT设备维护和管理。

 

IT服务管理(ITSM)阶段,重视流程管理阶段。主要实现IT服务流程管理。

 

业务服务管理(BSM)阶段,重视用户服务质量与满意度。主要实现IT与业务融合管理。

 

从IT投入和业务价值来看,前三个阶段是间接业务价值,第四阶段才是直接业务价值。

 

根据ITIL这个IT服务管理的方法论,先是搭建一个框架,借用工具的配合促进落地。如图1、IT运维管理系统参考模型。

 

从安全目标出发,结合IT运维管理系统参考模型,每个阶段的工作向着实现直接业务价值,不断消除或减轻对性能的约束,促进IT产品或服务满足确定的规范,实现企业效益最大化。服务好用属性通过最终的绩效和检验结果监视测量价值成分。如图2。

 

2.2 规划融合信息安全保障体系

 

通过从组织体系、制度体系、技术体系层面建立和实施纵深防御体系,实现稳健的信息安全保障状态。

 

①组织体系:通过企业中高层的支持实现业务驱动和共同推动信息安全体系建设。当然,需要提出的问题,组织有可能要依赖长期可靠的合作伙伴:通过长期可靠的合作关系,快速引进外部专业资源和先进技术,可以帮助企业推动信息安全建设工作。为了帮助组织内外信息系统人员更好地遵守行业规范及法律要求,企业实施IT网络与信息系统安全运维体系标准,组织应做到定期对全体员工进行信息安全相关教育,包括:技能、职责和意识,通过相关审核,证明组织具备实施体系的意识和能力。

 

②制度体系:企业IT网络与信息系统安全运维系统建设的范围包括机房安全、数据安全、网络安全、服务器安全、业务应用安全、终端安全等。为此,企业应明确内部运维和外部协同的内容及其标准规范,包括绩效标准。建立实施IT网络与信息系统安全运维体系标准,首先把高效的信息安全做法固化下来形成规则制度或标准,成为组织中信息安全行为准则。保证事前预防、事中监控和事后审计等安全措施的得到有效执行与落实。

 

③技术体系:一般来说,网络设备技术体系可以按照从上到下信息所流经的设备来部署工具。即从数据安全、终端安全、应用安全、操作系统与数据库安全、网络安全、物理安全六个方面来选择不同的安全工具。按照“适度防御”原则,综合采用各种安全工具进行组合,形成企业“适用的”安全技术防线。适时根据风险评估的结果,采取相应措施,降低风险。

 

其中,需要采用1~2种综合管理的工具来帮助把所有的安全监控工具进行统一管控。例如SOC是给企业日常维护管理者使用,ITRM作为综合风险呈现,是给企业风险或安全管理层使用。

 

④体系运行和监控:体系的日常运行和监控就是从信息的生命周期进行流程控制,即在信息的创建、使用、存储、传递、更改、销毁等各个阶段进行安全控制。之前不能忽视在信息创建开发安全阶段的一个细化控制手段。在运行体系建设中,往往需要结合流程分析来关注信息的生命周期安全。运行过程中还有一个应急管理,包括灾备中心建设、业务连续性计划、应急响应等等都有相应的标准与理论支持。特别是BS25999标准的颁布,给如何建立一套完善的应急体系提供了参考。

 

3 企业建立和实施信息安全保障体系实践

 

面对网络系统互连,网络技术与设备的安全管理规范的完善这个复杂而且浩大的工程,井冈山卷烟厂不仅依靠个体分散的技术措施或者管理防护,而且结合国家、社会和个人的力量构建综合保障体系。

 

①依据ISO9000、ISO14000和OHSAS18000标准,国家计算机网络和信息安全相关法律法规,参考当前科学的IT管理方法论方面形成了一系列标准,结合YC/T384烟草企业安全生产标准等,识别这些与信息安全相关的法律法规及其它要求,将信息安全保障体系(框架)融合到企业质量、环境和职业健康安全(以下简称为三标)综合管理体系。

 

②确定信息安全管理目标并分步实施企业三年信息化发展规划。自2012年开始,企业对照YC/T384烟草企业安全生产标准要求,在梳理和评价2000年以来企业多个企业信息化三年实施规划实践环境以后,制订了新的三年信息安全管理目标和建设规划,将目标和规划分解到各年度实施,并纳入到企业年度三标综合管理体系建设目标和管理绩效考核。

 

③建立信息安全管理组织和工作标准,同时纳入三标综合管理体系管理考核。从体系结构上促成企业作业层、管理层(中间层)和决策层的信息化,实现企业的物资(服务)流、资金流和信息流的一体化,及时、准确和完整地传递企业的经营数据,保证企业的经营管理。利用信息化改进管理,形成企业信息安全文化,促进员工接受、理解和主动配合,不断提升全员的信息安全意识和技能,从而使信息安全管理真正落到实处。

 

④建立和实施信息安全保障体系文件标准。根据国家信息安全相关的法律法规及其它要求,结合行业和企业的特点和发展趋势,规范管理流程和模式。网络与信息系统建设“立足长远、分步实施、突出重点”,做到“统一规划、统一标准、统一平台、统一编码”,同步实施信息系统等级保护制度,促进企业与信息系统项目合作单位、地方通讯和公安等部门的社会化合作主要方式。企业内部各项工作实现规范化、信息化,做到一切工作都按照程序办,同时,事事处于相互制衡的环境之下、人人处于监督管理之中,从而形成职责明确、运转协调、相互制衡的工作机制,为企业内部信息安全监管提供强有力的保障。

 

几年来,企业坚持企业信息安全方针目标,以迅速响应服务为宗旨。企业信息安全保障体系建设紧紧围绕建立科学、规范、和谐、统一、开放的管理体系,全面融入了质量、安全和环境管理体系一体化建设和实践,截止到2015年底,企业共梳理建立或整合并实施安全保障类文件包括企业管理标准、技术标准和工作标准共计31个标准文件。通过创新与改善和体系审核、管理评审和提高文件执行率及持续改进方式保持了信息安全保障管理体系的持续改进和有效运行。

篇13

1当前国有大型企业信息化管理体系安全现状和差距

1.1信息化管理体系安全现状

当前,一些国有大型企业的信息安全建设,有效保障了内部网络的安全性和保密性,并形成了一套相关信息的安全管理制度,为后续信息系统安全体系的完善和发展奠定了坚实基础。1.1.1安全基础设施和系统信息基础设施的安全是信息安全的基础,目前企业已在物理层、网络层和桌面系统加固与监控这3个方面,建设了一系列网络安全防护设备,完善了企业的信息安全系统。1.1.2安全管理和制度信息安全管理制度是信息安全技术真正发挥作用的保证,企业已将信息安全管理作为信息化管理的主要内容之一,实施信息安全分类管理。在信息分类管理中制定了一系列管理制度、流程和标准,确保信息安全管理的有效和规范。同时,将信息安全管理纳入各项安全管理工作,在财务管理、HES管理等重要业务管理中强化信息安全管理。由此可见,企业在信息化安全建设方面已做出巨大努力,但距离建立一套完整可用的信息安全体系的目标还存在一定差距。

1.2信息化管理体系安全问题的差距

部分企业虽然已经建立了专门的信息安全组织,制定了一些管理制度,部署的信息安全基础设施也能提供基本的网络安全性保障,但信息安全组织还不健全,信息标准的范围和执行力度薄弱,未制定针对信息系统等级保护的相关制度,没有部署上网行为管理系统等安全设备,缺少与信息管理、信息质量管理有关的规范,如各类编码标准,信息质量控制流程等。因此,需要进一步制定、完善统一的信息管理制度和信息标准,依托强有力的技术手段,支撑信息化管理体系,并对标准执行建立相应的监督考核机制。

2企业信息化管理体系安全优化策略

2.1完善信息化制度管理体系

企业的信息化建设要采用制度化管理方法,通过制定企业信息系统相关的安全管理制度,做好服务器和数据库系统的安全管理工作,保障企业珍贵数据资源安全。同时还要加强网络舆情管理、企业机房管理、计算机现场管理及服务器相关管理制度建设,以及通信、网络和信息系统相关应急预案等制度建设,规范网络、服务器管理人员以及终端用户的行为,逐步完善信息化制度管理体系。

2.2建立信息化安全管理体系

信息系统安全建设不仅是安全模块功能的实现,还是一个整合的安全体系。信息安全是保护信息免受各种威胁和损害,确保业务的连续性,使业务风险最小化,投资回报和商业机遇最大化。信息安全是组织的一个业务问题,需要管理层的承诺和支持,还需要企业安全文化和运营流程作保障。

2.3建立信息化流程管理体系

信息安全管理流程首先要提升全体员工的信息安全意识、技能培训和专业教育,然后对信息安全进行风险管理,要进行需求分析、控制实施、运行监控和响应恢复4个步骤,最后是信息安全监督检查和改进,通过检查和改进进一步提升员工的信息安全意识,形成闭环管理,如图1所示。

2.4通过信息化技术支撑管理体系

为保障以安全可靠为核心的信息化管理体系的运行正常,有必要利用信息化技术给其最有效的支撑。2.4.1上网行为管理上网行为管理的主要目的是有效规范员工上网行为,助力构建企业安全、和谐、稳定的生产经营环境,其原则是“事前预防,事后溯源”。事前预防就是要做到事前制订安全防范策略,最大限度保证机密数据和有害信息不由公司网络流向社会。事后溯源就是要记录每台内部计算机与互联网的信息交互内容,发生问题后迅速准确地定位到问题源头,做到有据可查,能追本溯源。2.4.2端点防护建立企业级的端点防护系统,对终端实现安全合规性检查和控制,加强策略管理。使用总体安全策略与本地自定义安全策略相结合的方式,在大规模部署端点防护系统的前提下,提升防病毒等安全管理系统的安装率,促进网络安全的综合治理和改善。2.4.3端点准入控制可采用VRV系统作为端点准入控制的手段。端点准入控制包括对公司内网计算机,也包括由VPN接入的外网计算机。VRV强化了对网络计算机终端状态、行为以及事件的管理,提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能,对它们管理的盲区进行监控,扩展成为一个实时可控的内网管理平台,并能同其他安全设备进行安全集成和报警联动。2.4.4身份认证管理通过加强身份认证管理,实现用户通过使用USBKey实现单点登录,更为方便和安全地访问应用系统,集中实现应用系统用户帐号的电子化流程管理,并与员工HR信息的变化联动,提高应用系统账号管理的时效性,加强账号管理力度,身份认证管理流程如图2所示。2.4.5安全域根据安全需求强度的不同,可将安全域划分为不同层次,要有针对性的采取安全控制和防护策略,针对信息系统网络的网络结构、数据流通模式以及安全防护需求,可将整体网络划分为3个安全域:核心安全域、接入安全域、边界安全域。2.4.6边界隔离网络划分安全区域后,在不同信任级别的安全区域之间就形成了网络边界。跨边界的攻击种类繁多、破坏力强,边界防护解决方案可彻底解决以上问题。企业边界防护方案由防火墙、入侵防御系统、物理隔离网关组成。关键路径上部署独立的具有深度检测防御的IPS(入侵防御系统)。深度检测防御是为了检测计算机网络中违反安全策略的行为。使用IPS系统可以滤出DDOS攻击,间谍软件、BitTorrent数据流、钓鱼攻击等几十类近100万种攻击类型。2.4.7流量控制和审计流量控制和审计方案主要涉及两个方面,一是对流量的深度检测和带宽控制,二是对用户访问的网站进行海量筛查。通过这两个手段在主观或客观上都能防止网络用户的不良行为,避免网络性能和安全性受到负面影响。2.4.8访问控制列表访问控制列表(ACL)是为了阻止部分用户不能访问另一部分用户或者服务而提出的。访问控制列表通常应用于路由器或者三层交换机上,能阻止或允许某些网段的用户访问资源,也能阻止或允许某个用户访问资源。2.4.9网络设备安全管理(1)网络设备登录安全通过用户状态进行存取控制,保证设备控制安全。限制SNMP和Telnet的用户访问。(2)网络设备日志记录对于网络安全,不仅要关注网络的事前防范能力,还要充分考虑事后跟踪能力,在安全事件发生前后,可通过对用户上网端口、时间、访问地的记录,全面追溯用户上网的状态,从而为后期分析提供第一手资料。(3)路由信息安全路由协议的安全管理主要通过路由信息交换的认证来保证。启用PassiveInterface命令后,该接口的网段路由可以照常出去,但该接口不会再收发OSPF协议报文,也就不会再与任何其他路由设备建立邻居关系,从而避免路由泄露。2.4.10专网企业可按照国家保密局、中办机要局要求及国家相关标准建设办公专网,通过验收用于处理国家秘密及以下级别的文件和信息,供企业员工日常办公使用。该网与互联网物理隔离,并利用安全保密设备提高网络和数据传输的安全性,与其他相关企业可采用专线方式单点连接。企业办公专网的网络架构如图3所示。

2.5建立信息化考核评价管理体系

企业信息化流程管理系统评价体系可包含信息化建设有关的基础管理内容及建立在此基础上的资源、信息、程序、过程等要素管理。从信息化过程监控和改善来看,通过考核评价体系建立一组有效描述信息化建设与运行过程情况的信息,帮助公司识别相关技术和管理的不足,逐步改善公司的信息化过程,达到持续改进的目标。

2.6建立信息化队伍管理体系

成立由公司领导班子成员、机关部门、基层单位主要领导组成的信息化领导小组,决策公司信息化建设中的重大问题,指导信息化项目建设;依托公司信息化工作的归口管理部门,负责制订企业信息化发展规划,负责信息化工作的有关政策、管理办法、技术标准和工作规范的制订,并组织实施和检查等工作。同时,注重对企业员工的专业培训,采取激励措施,培养一支高素质阶梯化专业人才队伍。

3结语

篇14

IT和企业发展环境的加速度变化,注定了企业信息化只能在一个个困难的重压下艰难前行。去年以来,刚刚从IT黑洞、标准化滞后、信息孤岛等难题中抽身的CIO们正欲长吐一口气时,却沮丧地发现自己又踏入了“无疆界”的新雷区。正所谓:“莫言下岭便无难,赚得行人错喜欢。正入万山围子里,一山放出一山拦。”

3月29日,在上海召开的IT决策者峰会就探讨了新雷区的特点与排雷的对策。

“无疆界”的困惑

当Web2.0、无线移动这些IT新技术把世界的阻碍铲平之后,“无疆界沟通”随即大行其道,无疆界企业、无疆界金融、无疆界商贸、无疆界社区……让人目不暇接。无疆界沟通的最大特征,被认为是降低了网络使用的成本和门槛,方便了用户的参与,譬如博客,譬如P2P和YouTube。“众人拾柴火焰高”,这让用户和商家都兴奋不已。

然而人们很快发现,与“应用无疆界”相伴的,不但有“商机无疆界”,还有“危险无疆界”,以至于出现了“2007年是风险管理年”之说。

“过去一个公司的内部网和外部网的边界是清晰的,现在不行了,无疆界沟通使‘任何人在任何地点利用任何设备’都可以访问到你,你很难说清楚企业的疆界在哪里。再加上电子邮件、MSN以及QQ等大量非格式信息在企业的使用,更使信息系统的治理难上加难。这是CIO们的一个新课题。”路透社全球技术政策与标准主管George Wang说。

屋漏偏逢连阴雨。过去微软的操作系统从发现漏洞到遭受攻击,通常要间隔几个月,而如今黑客的攻击手段也“与时俱进”,几天甚至几小时就可以针对漏洞发起攻击。加之IT已经渗透到企业运营的每一个环节和流程,数据处理量越来越大,稍有风吹草动就会造成系统瘫痪。“IT已成为企业运营面临的主要风险之一。”德勤企业风险服务部潘晓欧这样认为。

新的风险还与IT地位的提升有关。人们常用“工具”定位 IT,然而最近发生的许多事件表明,这个“工具”不仅服务于业务,还可以左右业务,甚至关乎企业的生死存亡。“IT系统如果出了问题,引发的危机是巨大的,可能会大到使CEO辞职、使企业破产。日本东京证券交易所最近的三次交易系统瘫痪就直接导致其CEO辞职,这充分证明了‘信息化能载舟,亦能覆舟’的道理。”中国银河证券信息技术中心主任王恒说。

危机当然并不都是坏事,上述事件促使CEO加倍关注IT。王恒指出,“以往很多CEO认为IT是CIO的事――CIO抬轿子,CEO坐轿子。现在CEO们终于明白,抬轿子的如果出现闪失,坐轿子的也死定了。因此,越来越多的CEO开始转变观念,IT人员在企业的地位也有所提升。”

治理模式转型

形势变了,企业环境变了,IT治理模式也要随之改变。

与会专家们提出的“危机对策”林林总总,其中的一项得到了高度认同。该项对策主张:应对危机的理念和策略需要转型――“要从IT基础架构的保护转向对企业信息的保护”。

专家们分析,当企业边界变得模糊时,仅仅依靠防火墙、入侵检测、渗透测试、补丁管理等IT基础架构的保护已远远不够,企业应当学会两条腿走路,工作重心也应转向企业信息的保护。

转型是一个庞大的系统工程,包括观念变迁、政策调整、制度建设,还须针对需要保护的业务信息的特征,分门别类地进行管理。以证券业为例,业务信息安全保护包括:人员操作风险、权限管理风险、参数管理风险、业务数据风险、合规性业务风险等。

不过,“安全保护”也是双刃剑,在获得安全的同时,企业也要付出效率、成本等方面的代价。因此,聪明的企业不会无限制地提升安全性,只能权衡利弊,区别层次与范围进行安全管理。其中的“度”不易把握,又必须好好把握,有所追求就要有所放弃,如同雇佣最优秀的员工就不可能支付最低的薪水一样。

在工作方法上,企业应遵循ISO17799、COBIT国际信息安全标准,有框架、有步骤地制定信息安全管理体系,治理策略和治理标准必须成为公司的强制性政策。

专家们认为,CIO也必须进行角色转型,要从IT技术专家转向业务风险控制专家。以往人们说IT管理是“三分技术、七分业务”,现在应再追加一句“十二分管理”。因为IT治理转型之后,管理难度加大了。

华特迪士尼(上海)有限公司高级信息技术经理韦国锋对CIO转型的看法是:CIO向业务渗透只能是“渗透”,不应该也不可能替代业务主管。术业有专攻,CIO的专业是IT,业务上不可能超过业务人员,否则他就应改行做业务了。韦同时认为, CIO们可以不具备高超的业务能力,却必须具备“与业务人员的沟通能力、理解业务流程的能力、把IT非核心业务外包出去的能力”。

“信息的价值”还是“价值的信息”

在各路专家大谈“信息的价值”时,奥托诺尼(北京)公司总经理伍昕的观点有些另类,他认为:“信息的价值”固然要讲,“价值的信息”更不可忽略。

“价值的信息”即“有用的信息”,何为“有用”?对一个明天去上海出差的人,“明天上海的天气”就是有用的信息,而“一个月之前上海的天气”则没什么用,但后一个信息可能会对气象部门的研究有用。这就是“在正确的时间把正确的信息传递给正确的人”。

从“信息的价值”到“价值的信息”,是时下很多人迷茫的问题,也是企业信息化的一个难点。互联网把信息送到了我们指尖上,也把一个恼人的问题推到前台:如何花最短的时间在信息海洋中找到对自己有用的信息?特别是那些大企业,探索与获取信息已经彻底解决,问题是如何快速找出对决策有用的信息。很多CIO的感受,是“就要被信息的海洋淹死了”。

虽然解决这个问题早已有了数据仓库、搜索引擎等工具,还有许多“可自动执行信息检索”的软件,有的软件甚至可以按用户的需求自动探索或锁定视频信息,提供“概念聚类”、“热点图示”、“摘要生成”和“提醒”等智能化服务,不过这些应用在国内企业进展得并不顺利,还有很多障碍。

障碍之一是异构系统。异构系统都有各自的访问权限,访问权限阻碍了信息共享。这个问题在那些历史悠久的老企业中尤为突出,企业需要在访问权限与信息共享之间找到一个平衡点。