【摘要】伴隨著企業(yè)信息化的發(fā)展，信息安全越來越受到重視。針對當前信息安全存在的問題，作者進行了調(diào)查，分析了其中的原因，最后從管理學的角度提出了相關的策略和建議。
【關鍵詞】信息化　信息安全管理　企業(yè)管理
1、引言
隨著信息技術的發(fā)展和網(wǎng)絡化應用的普遍推廣，各機關組織和企事業(yè)單位都開展各類管理業(yè)務的信息化建設。企業(yè)的發(fā)展運作離不開信息系統(tǒng)的安全運行。信息安全通過保護企業(yè)信息的機密性、完整性和可用性，不僅保護了企業(yè)各類信息資產(chǎn)的安全，還能增強企業(yè)的核心競爭力，維護企業(yè)的形象和信譽。信息安全對企業(yè)的生存和發(fā)展而言是至關重要的，需要從戰(zhàn)略的高度對信息安全進行規(guī)劃和管理。
2、企業(yè)中信息安全管理經(jīng)常存在的問題
日常安全管理中存在的主要問題，首先是用戶安全意識和觀念薄弱，占58%；第二位的是網(wǎng)絡安全管理人員缺乏培訓，占39%；其后，依次是保障經(jīng)費投入不足、缺乏安全信息共享和安全產(chǎn)品不能滿足要求。
不僅在日常管理中，在技術管理方面也存在一定的問題。在CSDN泄密門事件中，專業(yè)IT博客“月光博客”撰文表示，“整個事件最不可思議的地方在于，像CSDN這樣的以程序員和開發(fā)為核心的大型網(wǎng)站，居然采用明文存儲密碼”，“稍微懂一點編程的程序員都知道，為了用戶的安全，應該在數(shù)據(jù)庫里保存用戶密碼的加密信息，這樣黑客即使下載了數(shù)據(jù)庫，破解用戶密碼也不是一件容易的事情”?？梢姡行┥婕凹夹g方面的問題，也并不是單純的技術問題，而是與技術人員安全意識不強、責任心不到位有關。
為了了解企業(yè)內(nèi)部員工在信息安全問題上的看法及所做的努力，我們對一家電子商務企業(yè)和一家銀行的部分工作人員進行了問卷和訪談調(diào)查，發(fā)現(xiàn)在企業(yè)員工中存在如下一些問題：
信息安全意識方面，被調(diào)查者認為信息安全對企業(yè)和個人都非常重要。但大多數(shù)受訪者對信息安全的問題了解很少。
很多受訪者認為信息安全屬于技術人員的事情，與技術人員的交流非常少，且忙于業(yè)務，沒有時間去處理。
用戶認為信息安全管理措施效果不好。有些信息安全行為的規(guī)范標準雖然掛在網(wǎng)上或貼在墻上，很少有人去關注；公司發(fā)動的信息安全的培訓活動沒有收到好的效果。
3、信息安全問題的根源
通過對調(diào)查的結果進行深入分析，發(fā)現(xiàn)導致信息安全事件頻發(fā)、風險損失嚴重的原因從根本上來說，有以下幾個方面：
信息安全是一個多維問題，涉及到企業(yè)管理的方方面面。企業(yè)在信息安全問題上往往涉及多個部門。有些情況下，無法明確責任，使得信息安全得不到應有的重視以及有效的管理。
風險平衡理論認為，人會愿意承擔一定程度的風險。這與你采用多少的安全防護措施無關。有時即使有條件可以達到絕對安全的狀態(tài)，由于人性的緣故，也不會那樣去做。
信息安全與效率和便利性本身是矛盾的。信息安全加強了，受到的約束也就多了，相應的效率也就降低了。比如簡單規(guī)律的密碼，可以不必費力去記；插入U盤時進行殺毒，必然要耽誤時間；沒有接入網(wǎng)絡，不可能受到網(wǎng)絡攻擊，但也就失去了網(wǎng)上瀏覽所需信息、網(wǎng)絡交流的自由，因此有人半開玩笑地說：“最安全的計算機是拔掉網(wǎng)絡的那臺計算機”。
由于某些緣故，網(wǎng)絡中總是存在黑客，專門竊取信息或破壞網(wǎng)絡系統(tǒng)。他們的水平都非常專業(yè)，一般的用戶難以預防。所謂“道高一尺，魔高一丈”，信息安全的水平總是在這種攻擊與防守中進步的。
信息安全問題的不確定性。信息安全問題的不確定性主要指是否發(fā)生風險的不確定性、無法精確地評估當前所面臨的風險以及風險發(fā)生所帶來損失的難以把握。
所有這一切因素，都使得信息安全無法得到有效的關注和重視，無法采用有效的措施來預防和避免。這也是導致信息安全事件發(fā)生頻率居高不下，風險損失較大的主要原因。
4. 相關的建議和策略
針對企業(yè)信息安全的問題，文章運用管理學的理論進行論述。企業(yè)管理涉及四個功能：計劃、組織、領導、控制。
從計劃的角度來看：企業(yè)應當確立信息安全的發(fā)展戰(zhàn)略，從戰(zhàn)略的高度來對待和管理信息安全，確保信息安全所引發(fā)的風險達到可以接受的范圍之內(nèi)。從全局角度制定信息安全的策略，確立信息安全的目標，以及實現(xiàn)目標需要的行動方案。
從組織的角度來看：人力資源管理的觀點認為，企業(yè)的組織結構，取決于組織戰(zhàn)略。在許多企業(yè)組織結構中，只有技術部門，沒有信息安全管理部門。有專家曾討論過，技術管理與安全管理兩個部門必須設置成為兩個獨立的部門，否則無法保證安全評估的客觀性。因此有必要設置一個專門負責信息安全管理的部門，這個部門并不負責具體的技術，但是要懂技術，主要是開展企業(yè)的安全培訓和日常的安全管理工作，及對存在的風險進行評估，最大限度地降低安全風險。
從領導的角度來看：根據(jù)wilde的風險平衡理論，一個人會愿意承擔一定程度的風險。“風險平衡”觀念會讓整個機構處于盲目樂觀的狀態(tài)，不管是企業(yè)的員工還是管理者都傾向于追求效率，從而忽視信息安全的投入。
在企業(yè)的管理過程中，應當加強信息安全、風險意識方面的培訓和教育，增進員工與技術人員面對面的溝通與交流，開展有效的安全意識活動。
從控制的角度來看：對風險的控制要求企業(yè)對自己的安全狀況不斷評估，時時防范。這就要求安全管理部門每隔一定時間向上匯報信息安全的進展情況，定期進行風險評估工作。
5. 結語
文章從管理學的角度來分析信息安全風險管理，對信息安全問題做了實地調(diào)查，分析了目前信息安全存在的一些問題，并對存在問題的根源進行了深入分析，最后文章運用管理學的理論，從計劃、組織、領導、控制四個角度給出了相應的建議和策略。