企业如何做好信息安全风险管理

摘要：随着全球信息化程度的提高，企业信息化程度也随之提高，企业信息安全风险管理也显得越发重要。企业网络的安全防范对于企业来说也是不容忽视的。本课题研究了企业所面临的信息安全风险，试图从企业管理的各个主要环节入手进行分析，认为可以构建一个安全的企业网络。

关键词：企业、信息安全、风险 、管理

前言

随着国内经济建设的持续发展和知识经济模式的到来，企业得以高速发展，企业管理水平也亟待提高，不少企业也正以一种前所未有的热情来致力于企业内部管理素质与效率的提高；信息化的管理手段在网络经济迅速发展的时代显得尤为重要。

第一章:企业信息安全管理的重要性

信息化已经成为一个大型企业的发展战略，只有实现信息化,企业才有可能抓住机遇，实现企业的快速、健康发展。信息在企业的经营和发展中的作用由此可窥一斑，有时候信息甚至可以左右一个企业的存亡。如今，企业之间以及企业内部的信息传递越来越依赖于网络。在宽带网络建设得到飞速发展，信息得到快速传递的同时，因为企业信息安全问题而倒闭或蒙受巨大经济损失的案例也不胜枚举。2010年1月12日， baidu.com域名被劫持，此次网站被“黑”事件创下了百度创建以来最大的一次断网事故，也给民众和各企业敲响了警钟：网络信息安全问题不可忽视。

随着互联网的发展和网络技术的不断进步，企业信息安全问题已经成为每一个企业面对生死存亡必须要考虑的一个问题。由于互联网的开放性和通信协议原始设计的局限性的影响，企业信息因为诸多方面的原因容易造成外泄，给公司的正常运营带来安全隐患。企业在充分利用网络资源，享受信息传递的方便快捷的同时，降低企业安全信息管理风险显得尤为重要。

第二章：企业信息安全面对的风险

一、企业外部人员的信息窃取；内部服务器被非法访问，破坏传输信息的完整性。

黑客、木马的破坏性，相信很多企业的CTO都感受颇深。很多企业的局域网设计、办公自动化（OA）系统都存在着或多或少的漏洞。网络布线之后，局域网没有经过深思熟虑的规划，路由器密码为空或者没有经过修改，网关设置过于简单等等。办公自动化（OA）系统方面，权限管理过于简单或者基本没有，用户名及密码明文传输等等，都会给日后的使用，埋下隐患的种子。

二、企业内部人员的故意或过错而造成的商业机密泄漏。

黑客的攻击，或许只会对企业的局域网、以及办公系统带来破坏，很少能够有目的地，如其所愿地获取所希望的信息。企业核心信息的泄露，很大一部分，要归咎于企业内部管理的不规范，或者内部员工的有目的的向竞争对手提供企业重要信息。

企业的核心数据，也就是所谓的商业机密，一定要保证，除了核心管理层之外的人员，其他员工无权获取。对商业机密的保护不够重视，或者对企业信息访问权限缺乏强有力的约束，以及权限管理不健全，都会带来企业核心数据信息的外泄，无论是有意还是无意，都会给企业带来无法估计的损失。

因此，面对企业信息安全所面临的威胁，企业必须把信息安全风险降到最低，避免因企业信息外泄或被窃而给企业带来不可估量的损失。对当今的企业而言，必须通过加强企业信息安全风险管理，对可预见的风险加强防范，维护企业信息安全，避免造成不必要的损失，在保证企业信息正常流转的同时，保障企业的正常运行。

企业信息化建设的概念是发展的，它随着管理理念、实现手段等因素的发展而发展。因而管理也是企业信息安全得到保证的重要组成部分，也是防止来自内部网络入侵必需的重要部分。管理混乱、安全管理制度不健全等都可能引起企业信息安全风险。即除了从技术下功夫外，还得依靠管理来实现。

应对企业信息安全风险不只是给电脑设置密码，安装杀毒软件那么简单，这需要企业的每一位员工以每一件小事，每一个细节为出发点，从工作的方方面面加强防范。加强企业信息安全风险管理，要求企业每位员工提高安全防范意识。

第三章：如何降低企业信息安全的风险

一、制定企业信息安全规范，并严格加以执行。

企业要重视局域网规划，完善网络设计、建设，首先从网络层面规范信息安全要求。企业内部的网络使用方面，要求员工不要随意到网上下载软件、不要打开不明邮件附件等等。企业内部管理人员或员工应该设置用户口令，并且保证该口令不会因为过于简单而容易破解，并明确权限管理，把责任落实到个人，禁止信息泄密。

二、警惕对企业内部不满的员工和已离职员工。

员工离职之后及时更换管理员用户名及口令等信息。防止员工在把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险而造成经济损失。

三、加强对员工企业信息安全方面的培训。

提升安全技能，并通过运用企业信息方面危机的事例分析，逐步培养企业人员信息安全意识，使员工充分认识企业信息安全风险防范的必要性和重要性，并注重提高处理计算机系统安全问题的能力。

四、提高对计算机安全的重视程度。

企业网络管理人员应定期对计算机进行安全检查，并选择最适合自己公司需要的管理软件。

加强企业信息安全风险管理还要求企业员工从身边的细节加强防范，在日常工作中对办公邮箱加强管理，经常更换登录密码，并对重要数据进行备份。打印纸不随意丢弃，过期文件及时销毁。

结论

通过以上措施，我们基本上可以从里到外，从上级管理者到普通员工之间，形成一个立体的信息防护网，保护企业的重要信息不外泄，形成了企业信息安全的立体化防护。