公司信息安全建设精选(五篇)
发布时间:2023-10-10 17:13:46
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的5篇公司信息安全建设,期待它们能激发您的灵感。
篇1
1.电力系统的安全指标
电力系统为各产业的发展提供电力资源,建立信息数据网有利于保障电力控制系统的安全。信息系统主要负责数据信息的传输,同时在运行效率、管理控制方面发挥着不可忽视的作用。信息系统的安全不仅局限于信息的保护,还包括对信息系统的保护、检测和恢复等[1]。为保证信息系统的稳定传输,电力企业应制定相应的安全指标。
1.1使用指标
系统中存储的信息必须具有使用价值,否则就没有必要存储进信息系统。因此,电力企业应确定采取安全保护措施的信息的可用性。如果用户有需要,系统应为其提供相应的访问服务,避免因服务功能不及时等问题造成系统信息的异常存储、传输和处理,给系统功能的正常发挥带来影响。
1.2保密指标
电力企业信息系统所用的数据信息必须进行保密,只允许授权使用的人员查看,并不得透露给其他人员。目前,多数电力企业采用“授权、认证”的方式进行信息的保密,只允许授权使用的用户使用信息系统。执行保密指标,必须确保信息不被损坏、篡改和窃取。
1.3存储指标
实现网络化控制是地理企业的改革创新,在网络系统的运行期间必须保证信息存储的完整性。首先要确定纸质、电子档等信息存储的形式,然后再根据实际需要进行合适的存储指标选择,保证使每项信息都能得到有效存储和维护。
1.4审核指标
对数据信息进行定期审核有助于信息的安全管理。电力企业管理人员应在的科学指导下进行审核工作,给管理人员提供正确的决策和指示。此外,进行信息审核能够及时发现系统中存在的问题,提醒网络控制人员对异常情况进行及时处理,防止给信息系统的安全运行带来安全隐患。
1.5人员指标
人是电力网络信息系统中最关键的因素,系统最终需要技术人员的操作控制,如果专业人员技能不足,会给信息安全系统带来很大风险。如:操作人员随意安装操作系统、随意更改计算机代码、随意更新升级各类软件等,都会给网络信息系统带来安全隐患,破坏网络信息传输的正常进行。
2.网络信息安全防护对策
对于电力企业来说,电力资源信息化涉及的面广,工程技术比较复杂,必须从总体考虑网络资源的安全问题。为规避风险,使网络系统的运行更加安全、高效,必须保证网络的安全隔离。具体可采用以下技术解决网络资源的安全:
2.1虚拟网技术
网络管理者掌握虚拟网技术可以营造网络运行的稳定环境,避免其受到外界因素的干扰。。在公共数据网络上,采用访问控制和数据加密技术,可以将两个或多个可信内部网进行互联[2]。
2.2数据库技术
为提前防范电力网信息出现被盗、丢失等异常,运用数据库技术通过数据备份的方式保存原资料,可以保证信息的安全。电力企业应创建数据备份中心,选择高品质的数据恢复技术,如遇到信息数据受损,可以进行提前修复补充,以保证信息系统的正常运行。
2.3防火墙技术
防火墙属于访问控制产品,它能够隔离开信任网络和不信任网络,在内部网络与外部不安全的网络之间设置障碍,对外界异常信息进行过滤控制,阻止来自外界的非法访问。能够有效的阻止黑客的攻击,实现对数据流的监控。如防火墙中的强制实糟,能避免企业信息遭受非法攻击或存取。
2.4病毒防护技术
电力信息网络系统所遭受的最大病害是病毒,它对各类信息的安全具有较大的破坏力。要解决好这个问题,应通过防毒、杀毒的等方式进行处理,营造稳定的信息系统运行的环境。可以在电力企业的服务器上安装防病毒软件,在每台PC机上安装防病毒软件。
2.5安全审核技术
安全审核技术的作用是审核系统上流通的数据信息,及时将在异常的数据信息拦截,避免其给网络系统造成干扰,有效的保护信息系统的安全[3]。
3.加强安全制度管理
电力企业的网络安全管理中,技术仅仅是一部分,经营者还应加强管理决策的改革创新,制定出科学的管理规划和制度。日常管理中,应从以下方面加强管理:
3.1强化安全意识
安全意识涉及到领导者和网络系统运用管理的每个人。电力企业的经营者应将安全意识放在首位,从安全角度出发,制定现有网络系统的安全管理策略,避免来自外在的破坏因素干扰或危害网络系统。企业的员工要不断的培养自己的安全意识,坚持以安全为原则进行系统操作,把握好每个步骤。
3.2及时进行故障处理
网络信息系统发生故障在所难免,当出现故障时,应及时、尽快组织技术人员进行处理,尽早解决故障给系统造成的不良影响。
3.3规划管理制度
网络完全管理制度的严格执行可实现网络系统的有序操作,让系统的每个环节都能安全可靠的运行。电力企业应制定网络系统安全管理的制度,对计算机操作人员进行专业考核、加强设备的管理等,有效预防并避免意外故障的发生。
4.小结
计算机网络系统在电力企业的运用深刻而广泛,存在各种各样的安全威胁。电力企业必须加强安全技术的管理和应用,确保信息系统的安全运行,为企业的安全生产提供有力的保证。
参考文献:
[1]赵慧岩.对计算机网络信息安全建设的探究[J].中国电子商务,2010(1):54.
篇2
【关键词】 管理 信息安全 准入
一、专业管理理念和目标
1.1 专业管理的理念或策略
信息安全管理的理念为主动作为,从技术上做到信息安全“可控、能控、在控和预控”,实现事前认证、事中监控、事后审计的全流程安全管理。
1.2 专业管理的范围
综合数据网信息安全体系建设涉及公司所有员工。
1.3专业管理的目标
信息安全体系建设的目标为违规外联事件为0,桌面弱口令为0,杀毒软件安装率为100%,桌面管控系统安装率为100%以及不出现其它受到考核的不安全行为和事件。
二、当前的计算机网络安全形势
随着信息化的发展,业务和应用完全依赖于计算机网络和桌面计算机。但是计算机病毒、黑客木马、间谍软件进入桌面计算机,在计算机上安装非法软件,肆意破坏网络和业务系统,外来电脑接入本单位计算机网络等问题时有发生,这些行为非常容易导致桌面计算机和计算机网络系统的瘫痪。最近几年来,网络安全威胁愈演愈烈,网络攻击工具越来越多样,越来越容易获得,所需要的技能越来越低,只需下载一个黑客程序就可以进行攻击,漏洞利用的时间越来越短。攻击的目的性,过去纯粹为了比技术,现在商业目的越来越明显。
三、国网眉山供电公司综合数据网信息安全现状
国网眉山供电公司综合数据网经过2011年到2012年的大规模建设,网络覆盖到了35KV变电站及供电所等机构,形成了规模巨大的数据网络,包含连接各级机关、各个电压等级的变电站和供电所的广域网,以及各个站点的局域网。
综合数据网的建成为所有办公终端提供了高速数据通道,大大提升了信息化水平和办公效率。但也带来了一个严重问题――安全问题。国网眉山供电公司在网的计算机多,爆发的安全问题多,管理难度很大。从国网推广的北信源安全管控系统监控的结果来看,目前内网计算机违规外联、计算机使用弱口令、计算机没有安装防病毒软件等问题还很多,北信源的安全管控系统主要是监控并不能够从技术上进行事前规避。国网眉山供电公司实施了大量的管理措施得了一定的效果,但是没有建立一套全方位的安全技术系统,提升网络的安全性,保护电力公司的信息资产安全。
为了真正提升网络安全性需要建立一个整体安全架构,从局部安全、全局安全、智能安全三个层面,建设一个多层次、全方位的立体防护体系,使网络成为智能化的安全实体。局部安全针对关键问题点进行安全部署,抵御最基础的安全威胁;全局安全利用安全策略完成产品间的分工协作,达到协同防御的目的;智能安全在统一的安全管理平台基础上,借助于开放融合的大安全模型,将网络安全变为从感知到响应的智能实体。
四、国网眉山供电公司综合数据网信息安全体系建设规划
4.1局部安全
目前国网眉山供电公司的网络仅在连接省干网的出口部署了防火墙设备,防火墙能够进行边界保护和基于网络层面的访问控制,但是对应用层的攻击如通过Email携带病毒,通过网页挂木马方式对用户攻击等不能够阻断,应用层攻击行为能够对业务系统造成较大损害。
局部安全建设要对电业局网络进行分区:外联区、服务器区、接入区。外联区:外联区是国网眉山供电公司与省干网连接的边界区域;服务器区:服务器区是国网眉山供电公司的数据中心,存放重要的业务数据;接入区:接入区是各个站点及电力公司的局域网区域;
完成局部安全建设后,本电业局与省公司及其他电业局之间的安全攻击将被隔离,本电业局的攻击不会影响到省公司和其他电业局。本电业局内部的攻击也不会影响到服务器区的业务系统。提升了业务系统的安全性。对于电业局的网络系统基本上没有安全防范的措施,所以需要重建安全技术体系。
4.2全局安全
全局安全是通过网络设备与安全设备的配合提供端到端的安全防护。通过局部安全建设能够抵御内部的安全攻击,但是不能够控制攻击的在内部的泛滥,需要通过网络设备的准入功能,在网络的与用户终端的边界建立准入机制,只允许合法的用户访问网络,且只允许合法用户符合安全要求的终端访问网络,并通过客户端软件强制功能提升终端的自身的安全性。
全局安全的主要建设内容为:
身份认证:变开放的网络为封闭网络防止外来非法计算机访问网络;在网络接入设备上开启网络认证功能,开启该功能后,当计算机接入网络时是无法转发任何数据的,只有认证报文能够通过网络与认证服务器交互,只有合法的员工输入正确的用户名和密码后认证成功,该用户获得第一级访问网络的权限,仅能够访问安全隔离区;外来的非法计算机因没有账号和口令而无法向网络发送任何数据。
安全评估:加强计算机的安全性,只有符合安全规范的计算机才能够访问网络;当合法员工输入正确的账号和口令后获得第一访问网络的权限后,启动对计算机的安全检查,检查内容包括弱口令检查、防病毒软件、操作系统补丁、必须要运行的软件等。弱口令检查是扫描计算机账号的口令,与弱口令字典进行比对,如果存在弱口令则认证失败,要求用户修改口令,直到口令改为强口令,避免被破解口令后远程控制该计算机;防病毒软件检查是扫描系统是否安装防病毒软件以及是否更新病毒库,如果没有安装防病毒软件或者病毒库没有更新,则认证失败。并要求计算机访问安全隔离区进行修复,安装防病毒软件或者进行病毒库升级,保证计算机具有防病毒能力,能够对通过计算机外设及通过网络散播的病毒进行杀毒。
软件管理:目前国网要求所有终端安装北信源的安全管控软件,但是部分终端没有安装,导致无法评估真实网络安全状态,建设全局安全启动了网络准入功能,如果终端不安装北信源软件就无法访问网络,通过技术手段保证每个接入网络的终端必须安装北信源安全管控软件,提升国网考核的注册率。
防内网外联:启用网络准入功能后,准入客户端可以在终端上对网络驱动下发隔离策略,只有被安全认证服务器认证通过的网卡才能够访问网络,而安全认证服务器是在信息内网中的。当终端接入到互联网上时,只有认证数据能够通过,因互联网上没有安全认证服务器所以认证不通过,终端无法获得授权而无法访问网络。在终端运行过程中插入WLAN网卡或者3G网卡也无法联网,因为在互联网上无法进行认证所以网卡被隔离无法访问互联网。
全局安全建设后,对于具有安全隐患的终端将无法接入到网络,大大提高网络的安全性,终端自身也具有了较高的防御性,可以抵御网络中的攻击。
4.3智能安全
局部安全和全局安全建设后,整个网络具有了较高的安全性。但是还不具备足够的智能性。智能安全的目标是动态调整终端安全性、识别安全攻击并快速定位和隔离攻击,将安全事件控制在最小的范围之内。在终端使用过程安全状态会发生变化,智能安全的目标是使得终端具备智能提升安全性能力,通过动态补丁升级服务器可以保证终端缺乏必要安全补丁时能够自动从补丁服务器上获取补丁,避免操作系统受到漏洞攻击;当病毒库版本升级后终端能够自动进行升级。
另外,部署安全审计服务器将整个网络中的网络设备、安全设备、业务服务器等日志能够统一管理,当出现安全事件时能够主动告警并快速定位,并且可以隔离攻击源。
篇3
关键词:信息安全;信息科技风险;管理体系
1信息安全建设现状
现行制度方面,现行有效制度涵盖软件开发、软硬件运维、应急管理、安全操作、外包管理、供应商管理等方面,覆盖面较为全面,但是缺乏体系,没有根据一个标准系统的制定出一整套操作性强、执行性强的制度体系。上报机制方面,目前采取信息处内部逐级上报机制,即发现问题上报至科长,科长根据重要等级不同决定上报给处长、主管主任、信息科技委员会。内部评审方面,现阶段只针对现行制度对文档的完整性和准确性进行事后自评,定期配合外部审计机构进行专项审计;监控平台只对机房环境、硬件设备、网络及系统软件进行实时监控。信息科技风险评估方面,根据国家标准从信息资产、威胁、脆弱性的识别、风险值评估、风险项统计分析、总体评价和不可接受风险处理等7个方面,对整体信息化系统包含的硬件设备、软件系统、数据信息和管理制度等内容进行了全面的评估,每半年上报一次信息科技风险报告,并制定相应的整改计划。
2信息安全建设存在的问题
2.1管理制度建立不完善
目前,在信息科技风险的上报机制、自评机制和监控机制都存在着不同程度上有所缺失,例如尚未建立双向上报机制;自评范围不全面,缺少对数据资产、人员资产、软件资产等的覆盖;缺少残余信息科技风险的控制缓释措施及评价流程。同时,现有信息科技风险管理制度的完整性、可操作性需要进一步改进。
2.2信息安全意识不强
职工信息安全意识较为缺乏,没能把信息安全意识变成一种习惯、一种常态化的意识真正融入到日常的工作生活中,没能真正意识到加强信息安全的重要程度。
3信息安全建设工作思路
随着互联网+迅猛发展,加强信息安全建设日益重要,我认为应从加强安全审计、建立风险上报机制、强化信息安全管理、科技信息风险防范等四个方面不断加强信息安全建设工作:
3.1分析差距,完善内审监控管理体系
按照信息安全管理体系ISO27001标准梳理现状,认真分析研究,查找存在的差距,制定信息安全内控操作规程,针对软件开发、软件运维、硬件管理各项工作中具体内控操作流程制定信息安全审计依据。可联合相关处室,定期组织信息安全内部审计,建立事前预警、事后考评的整套内审监控管理体系,对潜在的信息风险进行有效控制。
3.2安全防控,建立风险上报长效机制
依据CIA属性对现有信息资产按照实物资产、人员资产、数据资产、软件资产、服务资产进行分类赋值,识别信息资产面临的威胁与弱点,推导出信息资产面临的安全风险,提出相应的安全措施并制定整改计划。另外,建立风险点上报机制,各个分管机构风险管理员负责收集存在的风险点隐患并及时上报信息处、风险处,由信息处汇总风险点,双向上报给风险处及相关领导,针对风险点中提出的问题及时跟进,并协调相关处室进行有效处理。
3.3强化意识,紧抓信息安全管理
针对目前职工信息安全意识较为薄弱的现状,一是借助官方网站、微博、月刊、简报等宣传载体,开展形式多样的信息安全的宣传教育活动,让每名干部职工时刻紧绷信息安全这根弦;二是邀请专家定期组织信息安全培训,普及安全应用技术,强化全员的安全责任和意识。三是结合各部门信息安全工作实际,就一段时期内容易产生的安全问题组织不定期的安全技术人员专题讲座,提高信息网络安全管理人员的能力。
3.4抓好关键,确保信息安全工作无死角
篇4
在宏观经济下行的市场竞争中,大部分企业时刻面临着自身生存和发展的困境,特别是私营企业,由于工作节奏快,职工的压力较大,因而更具有特殊性。任何一家企业的正常运营都离不开全体员工的共同努力和团结奋斗,但是私营企业往往无限度的给员工加压,这种压力不仅包括工作环境和工作负担等因素,也包括企业过度忽视员工的工作感受。过度的压力会导致员工工作态度消沉,并在不同程度上造成员工生理和心理的不良反应,导致工作效率低下,给企业的生存和发展带来了重大隐患。
工作不安全感是工作压力的重要来源之一[1]。目前理论界对工作不安全感还没有一个统一的界定,Greenhalgh和Rosenblatt认为:“工作不安全感是雇员在一个受到威胁的工作情境中,对于维持所希望的继续性的一种无力感。”[2]强烈的工作不安全感在不同程度上对于组织、家庭、以及个体都会带来很多消极影响,一些可以阻碍和减弱工作不安全感消极后果的缓冲或者调节变量就显得尤为重要,比如社会支持。
目前,国内关于员工工作不安全感与心理健康的研究相对来说比较欠缺,在国内私营企业管理方式还存在很大缺陷的情况下,私企员工工作不安全感总体状况如何?它对私企员工的心理健康有显著影响吗?社会支持是否能够减弱工作不安全感对员工心理健康的损害呢?基于此,本研究采用工作不安全感量表、社会支持量表、以及华人心理健康量表对私营企业中工作的员工进行现状调查,并探讨工作不安全感各个维度与心理健康的关系,同时探索社会支持是否在工作不安全感各个维度与心理健康之间存在调节作用。本文的研究框架如下图1所示:
二、理论基础与研究假设
(一)私企员工工作不安全感与心理健康
随着员工身心健康不断出现问题,越来越多的学者开始意识到关注工作不安全感对个体身心健康影响的重要性。Sverke等人的元分析表明,工作不安全感对雇员的生理健康和心理健康会形成极大的威胁,但相比之下,工作不安全感与心理健康的相关程度高于身体健康,这说明工作不安全感对员工的心理健康水平有更大影响[3]。Cheng和其工作伙伴对中国台湾25-65岁之间的8705名男性雇员和5980名女性雇员进行调查,研究发现:工作不安全感在职业人群中的总体流行率达到50%,而且在调整年龄、控制工作内容和要求以及工作中的社会支持以后,雇员的工作不安全感仍旧与较差的健康状况之间仍存在强烈的联系[4]。Strazdins(2004)研究发现,存在工作不安全感的员工通常都有一定的抑郁、焦虑问题[5]。
相比于国外二十多年的研究积累,国内对工作不安全感领域的研究还处于初步阶段,还有很多问题需要去研究和解决。国内对于这两者之间的研究相对来说还比较少。如冯冬冬等人对广州某中外合资企业进行了横向和纵向研究,结果发现,工作不安全感对员工的身心健康有非常显著的消极影响;一般自我效能感在工作不安全感与身心健康之间存在显著的调节作用[6]。胡三??和李中斌(2010)通过实证分析,证明中国企业中的工作不安全感由五个维度构成,即工作丧失不安全感、人际关系不安全感、工作执行不安全感、过度竞争不安全感以及薪酬晋升不安全感[7]。
基于以往国内外学者对工作不安全感与心理健康理论及实证研究成果,本研究提出如下研究假设:
H2-1:工作不安全感对员工心理健康具有显著负向影响。
H2-1-1:工作丧失不安全感对员工心理健康具有显著负向影响。
H2-1-2:人际关系不安全感对员工心理健康具有显著负向影响。
H2-1-3:工作执行不安全感对员工心理健康具有显著负向影响。
H2-1-4:过度竞争不安全感对员工心理健康具有显著负向影响。
H2-1-5:薪酬晋升不安全感对员工心理健康具有显著负向影响。
(二)社会支持的调节作用
1.私企员工社会支持与心理健康
已有一些研究指出,社会支持水平对员工心理健康有重要影响。如高校图书馆员工的社会支持与其心理健康水平有密切联系[8]。另外龚德英等人(2008)在关于外企员工社会支持与心理健康现状调查中也证实,员工的社会支持对其心理健康状况有重要影响[9]。
本研究采用肖水源编制的社会支持量表进行研究,该量表将社会支持分成三个构面,主观支持、客观支持和对支持的利用率,在国内研究中被广泛的使用。研究表明,主观社会支持水平越高,员工心理健康水平越高[10]。
基于前人的研究,本研究提出如下假设:
H2-2:员工社会支持对私企员工心理健康具有显著正向影响
H2-2-1:主观支持维度对私企员工心理健康具有显著正向影响
H2-2-2:客观支持维度对私企员工心理健康具有显著正向影响
H2-2-3:对社会支持的利用度维度对私企员工心理健康有显著正向影响
2.社会支持的调节效应
Sverke等人在其工作不安全感整合模型中提出,社会支持可能在工作不安感与心理健康之间起到调节作用,并指出未来研究应该检验如何减少工作不安全感的消极影响,特别要检验工作不安全感与结果关系中调节变量的作用。
国内学者如胡三??、佐斌等人对工作不安全感影响的因素及其各种后果变量之间关系的调节变量进行了较为全面的研究[11]。但国内关于社会支持对工作不安全感和心理健康之间调节作用的相关研究极少,那么,在不同水平的社会支持下,工作不安全感及其各个维度对员工心理健康的影响作用会如何呢?
基于Sverke(2002)的工作不安全感的调节变量整合模型以及前人的相关研究,本研究提出如下假设:
H2-3:私企员工社会支持正向调节工作不安全感对心理健康的影响
H2-3-1:私企员工社会支持正向调节工作丧失不安全感对心理健康的影响
H2-3-2:私企员工社会支持正向调节人际关系不安全感对心理健康的影响
H2-3-3:私企员工社会支持正向调节工作执行不安全感对心理健康的影响
H2-3-4:私企员工社会支持正向调节过度竞争不安全感对心理健康的影响
H2-3-5:私企员工社会支持正向调节薪酬晋升不安全感对心理健康的影响
三、研究方法
(一)研究样本
按照随机取样原则,选取绵阳市私营企业中的员工共300人,通过发放调查问卷来收集数据,数据收集的过程是在被调查企业人力资源部门和相关领导的支持配合下完成。
在此次调研中,共发放300份调查问卷,回收了263份有效的问卷,回收率为87.7%。本研究调查对象的基本情况如表3-1所示。
(二)变量测量
为确保测量工具的效度及信度,本研究尽量采用现有文献已使用过的量表,再根据本研究的目的加以适当修改作为搜集实证资料的工具。
员工工作不安全感:采用胡三??与李中斌所编制的25个条目的量表,此量表由员工进行自我评价,示例问题如:“我害怕丢了现在的工作再难以找到与之相当的工作了”、“我害怕自己没有特别努力就会被单位淘汰”。员工基于likert-5点评分方法进行评价(1=非常不符合;2=不符合;3=不确定;4=符合;5=非常符合)。该量表在本研究中的信度系数为0.809,五个维度的信度系数分别为0.888、0.799、0.768、0.709、0、785,这表明该量表具有良好的信度。
员工社会支持:采用肖水源(1994)所编制的10个条目的量表,此量表由员工进行自我评价,示例问题如:“您有多少关系密切,可以得到支持和帮助的朋友?(只选一项)”、“过去,在您遇到急难情况时,曾经得到的安慰和关心的来源有:”。员工进行评价的评分方法为:第1~4,8~10条,每条只选择一项,选择1,2,3,4项分别计1,2,3,4分;第5条分A,B,C,D四项,将四项得分相加得总分,每项从无到全力支持分别计1~4分;第6、7条如果选择“无任何来源”则计0分,若选择“下列来源”,那么有几个来源就计几分。该量表在本研究中的信度系数为0.659,这表明该量表具有较好的信度。
员工心理健康:采用我国杨廷忠教授经过中国大陆适宜性研究后,对台湾学者郑泰安所编制的量表进行调整之后的12个条目的量表,此量表由员工进行自我评价,示例问题如:“请问您最近是不是觉得头痛或是颈部有压迫感?”、“觉得神经兮兮,紧张不安?”。员工基于likert-4点评分方法进行评价(1=比平时严重的多;2=比平时严重些;3=和平时差不多;4=一点也不)。该量表在本研究中的信度系数为0.807,这表明该量表具有良好的信度。
控制变量:以往的研究表明,员工的背景变量(如性别、年龄、工龄、婚姻状况、学历、职位层次、月薪)会影响员工的工作不安全感(胡三??2010),工作不安全感又会影响员工的心理健康。因此,本研究将选取员工的性别、年龄、工龄、婚姻状况作为控制变量处理。
四、数据分析和结果
本章首先检验工作不安全感各个维度对员工心理健康的影响作用,社会支持各个维度对员工心理健康的影响作用;其次,根据调节效应的判定原则,探讨社会支持水平在工作不安全感各个维度和员工心理健康之间关系中起到的交互效应。
(一)变量的描述性统计分析
对私企员工工作不安全感、社会支持和心理健康的相关关系进行考察,从相关系数矩阵表可以发现,各研究变量之间存在不同程度的相关。
私企员工心理健康与工作不安全感各维度之间均存在显著负相关关系(P
(二)假设验证
1.员工工作不安全感对心理健康的回归分析
将可能会对心理健康有影响的性别、年龄、工龄、婚姻状况等控制变量进入回归方程的第一层,再将工作不安全感各个维度变量进入回归方程的第二层,结果如表4-2所示。多重共线性的VIF检验值都在允许的范围之内,说明进入模型的各个变量不存在严重的多重共线性,该模型的回归结果可以接受。
从表4-2中可以看出,心理健康与工作不安全感的“工作丧失不安全感”维度之间的标准化系数为-0.053,P?0.05,未达到显著,研究假设H2-1-1未得到验证;心理健康与工作不安全感的“人际关系不安全感”维度之间的标准化系数为-0.046,P?0.05,未达到显著,研究假设H2-1-1未得到验证;心理健康与工作不安全感的“工作执行不安全感”维度之间的标准化系数为-0.154,P
2.社会支持对工作不安全感影响心理健康的调节效应检验
(1)社会支持对私企员工心理健康的关系检验
通过上述相关分析,我们了解了社会支持各个维度与员工心理健康之间具有不同程度的相关性。然而通过相关分析只能说明研究变量之间存在一定的关系,无法说明变量之间具体有怎样的关系,也无法看出研究假设是否支持,因此,此部分将进一步进行回归分析,通过层次回归的方法来检验各研究变量间的关系及验证相关研究假设。
从表4-3数据运行结果来看,私企员工心理健康与社会支持的“主观支持”维度之间的标准化系数为0.292,P
(2)调节效应检验
值得说明的是,工作不安全感共有五个维度,社会支持共三个维度,因此,如果两两维度之间进行交互项讨论的话,就会产生15个交互项。在很多现有的研究中很多研究者也经常把社会支持作为一个整体构念来进行研究。因此,本研究在接下来的讨论中,会把社会支持视为一个整体概念,检验其在工作不安全感各个维度和心理健康之间的调节效应。
采用层次回归分析方法,检验社会支持在工作不安全感各个维度与心理健康之间的调节作用。具体操作步骤为:第一步,将控制变量放入回归方程;第二步,将自变量放入回归方程;第三步,将调节变量放入回归方程;第四步,放入调节变量与自变量的交互项。如果交互作用显著,则说明存在调节作用。为了避免在进行社会支持的调节作用分析时回归方程产生多重共线性问题,需对交互项的各变量进行中心化转换。
模型1表示心理健康对控制变量的回归,F值为2.390,P值?0.05,模型不显著,模型1的调整后的R2为0.021,模型解释了员工心理健康2.1%的方差。
模型2表示心理健康对控制变量和自变量(工作不安全感各个维度)的回归,F值为9.547,P值
模型3表示心理健康对控制变量、自变量(工作不安全感各个维度)以及调节变量(社会支持)的回归,F值为11.124,P值
模型4表示心理健康对控制变量、自变量(工作不安全感各个维度)、调节变量(社会支持)、交互项(工作丧失不安全感×社会支持)的回归,F值为10.620,P值
模型6表示心理健康对控制变量、自变量(工作不安全感各个维度)、调节变量(社会支持)、交互项(工作执行不安全感×社会支持)的回归,F值为10.628,P值
为了更加直观形象地表示社会支持的调节作用,绘制社会支持在工作不安全感与心理健康之间的调节作用效果图4-1。
从图4-1可以明显看到,工作不安全感高的私企员工在获得较少社会支持的情况下,其心理健康得分尤其高(即其心理健康水平尤其低);而获得较多社会支持的私企员工其心理健康虽然会受工作不安全感的影响,但程度却并不大,即便是体验到高工作不安全感的私企员工在感受到高社会支持的情况下,其心理健康得分也较低(即心理健康水平较高),这一结果再次说明社会支持能够有效缓解私企员工工作不安全感对心理健康的负向影响。
五、结论
篇5
【关键词】 传统行业 信息安全建设 问题 策略
【作者简介】 胡鹏,中石化湖北石油分公司工程师,研究方向:网络安全。
【中图分类号】 X913.2 【文献标识码】 A 【文章编号】 2095-5103(2015)04-0051-02
信息安全建设包括三大部分,即人员、管理和技术,尤其是信息安全管理,已经越发受到各界的广泛关注,并以此为核心来打造信息安全保障体系。信息安全对于各行各业来说,均具有极其重要的地位,其不仅关乎企业自身信息安全,也关乎普通消费者信息安全。因此构建信息安全体系,是企业未来发展的重点工作。
一、传统行业信息安全建设现状分析
(一)对信息安全建设缺乏足够认识。就目前国内实际情况来说,传统行业对于信息安全建设尚没有足够的认识,导致信息安全建设难以切实施行。具体来说,这主要表现在三个方面。一是传统行业的领导者对信息安全建设缺少必要的认识,在面对信息化浪潮的冲击时,其最先想到的是提升行业品质来面对新挑战,却忽视了通过信息安全建设保护行业核心信息资源,导致行业信息被逐渐泄露,无法与新行业相抗衡,以致逐渐失去竞争力。最典型的就是传统出版行业,在数字化刊物逐渐普及的情况下,传统出版行业已经显得捉襟见肘,出版物印刷量与销售量逐年下降。二是行业内部员工缺少对信息安全的认识,在日常工作中,会在不经意间泄露行业信息。更有甚者为了一己私利出卖行业信息。这些举动都对传统行业造成了极其恶劣的影响。三是普通消费者缺少对信息安全的认识,在某些需要消费者个人信息资料的行业中,消费者往往没有考虑个人信息资料是否安全,是否存在泄露的风险以及相应的后果。忽视这些的结果就是消费者缺少对相关企业信息安全的要求,在发生意外情况后无法挽回。
(二)信息安全建设技术水平较低。传统行业虽然缺乏对信息安全建设的认识,但也并非没有进行信息安全建设,只是其信息安全建设技术水平较低,无法切实满足对企业信息安全的保护。信息安全建设技术水平低主要表现在两个方面。一是信息安全管理体系架构技术层次低,一个体系架构的技术高低,决定了该体系所能发挥的功能高低。越先进越高端的技术,其对信息安全的保护也就越安全,反之亦然。传统行业信息安全管理体系的基础架构以及权限设置等信息保障措施,其技术相对一些新行业而言较为落后,无法符合不断更新的计算机技术,更无法有效弥补信息安全漏洞,只能说是徒有其表。二是人员管理技术水平较低,人员管理也是信息安全建设的重要环节。每一个员工都携带着一定程度的行业信息,只有加强对员工的管理,建立科学人性的管理体系,才能确保企业人员不会因为失误或利益泄露行业信息。
(三)信息安全建设覆盖范围较窄。信息安全建设覆盖范围较窄主要可以分为两个方面,一是进行信息安全建设的传统行业范围较窄;二是行业内部信息安全建设的范围较窄。对于所有传统行业而言,已经完成信息安全建设或正在建设的行业并不多。根据相关统计资料,传统行业中完成或进行中的信息安全建设的企业,尚不到20%。这一数据说明信息安全建设率在传统行业中来讲还很低,还需要加强相关理念的宣传,引导更多的传统企业进行信息安全建设。在行业内部,信息安全建设集中在企业核心机密,即企业相关财务数据、产品数据和市场数据等,忽视了员工信息安全及一些外在信息安全的构建。虽然此举能够保障企业核心利益,却无法保证企业正常良性的运转。
二、传统行业信息安全建设中的问题及原因
(一)缺少完善的法律法规。在信息安全方面,我国尚缺少有效完善的法律法规来加强信息安全建设,这主要表现在两个方面。一方面是缺少对传统行业信息安全建设的强制性法律法规。传统行业本身对信息安全缺少足够的认识,再加之缺少必须的法律法规,就致使传统行业基本忽视了信息安全建设。另一方面是缺少对信息安全犯罪的法律法规,近年来随着信息技术发展迅猛,各种信息安全犯罪层出不穷,犯罪性质也从经济犯罪上升到了更加恶劣的性质。各种由于个人信息泄露而出现的绑架、抢劫等案件,急需出台相应的信息安全法律法规来加以制约。
(二)传统行业内部信息安全管理不力。信息安全管理主要包括体系建设、制度建设和人员管理。这三个方面的工作在传统行业中来说都并不到位。体系建设主要是指信息安全管理体系,一套完整的管理体系,应当从上至下,由内而外,将方方面面的信息安全包罗其中,以形成一个上下一体的信息安全管理系统。制度建设主要针对信息安全制定相应的信息安全管理制度,通过确实的规章制度,对企业员工形成约束,避免其出现一些不利企业信息安全的行为。人员管理主要是加强对企业员工的信息安全意识教育,让其树立起保护信息安全的基本意识。
(三)基础信息安全建设设施缺乏。基础信息安全建设设施缺乏,是摆在传统行业面前的关键问题,这主要包括两个方面的问题。一是技术基础缺乏,目前我国信息安全建设的技术基础基本源自国外,这从信息安全的角度来说本身就是一种不安全的行为。只有创建完全自主的信息安全技术,才能杜绝国外技术可能存在的技术后门。二是硬件基础缺乏,这与技术基础缺乏对信息安全的不利影响是一致的。总的来说,硬软件的缺乏,是传统行业信息安全建设的最大问题。
三、传统行业信息安全建设策略分析
(一)完善信息安全法律法规。要做好传统行业信息安全建设,最首要的就是完善相应的信息安全法律法规,从法律层面对信息安全建设进行定性。首先是明确传统行业信息安全建设的义务,通过法律规定强制传统行业进行信息安全建设,迫使其领导层重视信息安全建设,进而在行业全局决策中增加对信息安全建设的思考与倾斜。其次是对信息安全犯罪作出全面的定性与量刑,加强对信息安全犯罪的打击力度,通过法律手段减少信息安全威胁。
(二)加强行业内部信息安全管理。加强行业内部信息安全管理,是信息安全建设的重要环节,其可以从三个方面来进行。第一是构建企业员工信息梯度,针对企业不同部门以及不同职位,制定不同的信息等级制度,以此改善员工功能与信息的不对等关系。第二是构建信息管理制度,针对企业类型、企业所包含信息的类型以及其机密程度,制定合理的信息管理制度,加强对内部员工的约束。第三是加强对企业员工的信息安全建设培训,使企业员工具有一定的信息安全建设意识,能够从一些小事上进行信息安全建设。
(三)自主化信息安全建设基础设施。自主化信息安全建设基础设施应当从基础技术与基础硬件两个方面进行。就基础技术而言,传统行业应该大量参考国外相关技术,博采众长,创建不依赖于国外技术的信息安全建设技术,真正实现信息安全建设技术国产化,从根源上排除国外技术对传统行业信息安全可能存在的技术风险。在基础硬件方面,传统行业可以加强与国内硬件厂商的合作,共同研发具有行业特点的信息安全建设硬件,减少国外硬件的引入与应用。总的来说,信息安全建设应该在国外硬软件的基础上,开发自主的硬软件设备,使信息安全建设完全实现国产化。
(四)综合采取多种有效措施构建信息安全大环境。信息安全建设并非企业一己之力就能够做好,还需要多方协作,构建信息安全大环境,如此才能在整个行业中进行信息安全建设。第一,加强企业之间的信息交流与合作管理。对于同一行业而言,企业的核心信息在一定程度上来说相似甚至相同,即企业的信息安全建设在一定程度上形成了交集。同类型企业可以加强信息交流,合作构建信息安全管理体系,加强信息安全管理。第二,构建企业信息安全评级制度,由国家相关部门牵头,联合行业内的优秀企业,组建企业信息安全评级机构,对行业内企业进行信息安全评级,并将评级结果公布于众,让消费者能够清楚认识到企业的信息安全等级以选择能够保障自身信息安全的企业。此举还可以加强企业对信息安全建设的重视程度,促使企业进行信息安全建设。第三,构建信息安全犯罪打击网络,由公安部牵头,联合国内优秀的信息安全商构建信息安全犯罪打击平台,加强对信息安全的监管及信息安全犯罪的打击。
参考文献:
