中小企業不僅在信息安全技術與大企業有較大的差距,更重要的是信息安全管理狀況也不容樂觀,普遍有重視安全技術,輕視安全管理的現象存在。國家發展改革委中小企業司在年前曾發表一項《二零零六年中國中小企業信息化調查報告》, 結果顯示有80%的被訪中小企業只配有5名以下的信息技術人員。隨著全球信息化的發展,信息安全對中小企業將會變得越加重要, 其內部組織管理、相關技術力量卻任然薄弱。總結我國中小企業信息安全安全問題的原因主要有一些幾個方面:
1、信息安全管理意識不強。
相對大型企業來說,中小企業信息資產方面的積累相對較為薄弱,并且很多時候這種積累并非企業的有意識行為,所以在正常的信息化應用情況下,往往會忽視對自己信息資產的保護,而只有在信息資產受到破壞,形成了實際的經濟和附加損失的情況下,才會開始意識和重視這信息安全問題,可以說,這種中小企業的信息資產管理現狀,是造成中小企業信息安全問題的主要內因之一。受社會文化環境等綜合因素的影響,國人往往對于安全防范存在一種惰性和漠視,而聯系到實際,中小企業員工甚至管理者普遍都存在著安全意識薄弱的問題,例如:在實施信息安全項目的過程中,經常可以遇到企業員工安裝公司不允許使用的軟件、中止安裝在自己個人電腦上的安全產品客戶端等諸如此類的事件,造成這些問題的原因是多種多樣的,但發生這種情況的最核心因素,是這些員工沒有足夠的信息安全意識,他們往往因為自己的便利而違反信息安全規章,也往往意識不到自己的這種行為,會將其他同事甚至整個企業的信息資產推向危險的境地。這給我們一個最重要的啟示:安全設施的建立只是企業信息安全的第一步,而如何在構建完成的信息安全體系中有效徹底的貫徹事先制訂的信息安全策略以及不斷提高企業的全員信息安全意識是信息安全管理工作工作更重要的部分。要達到這樣的目標,需要企業決策層的大力支持、定期實施安全培訓教育以及定期評估和調整安全政策,這樣才能保證企業安全體系處于積極活躍的健康狀態。
2、信息安全管理水平較低信息安全風險較大。
目前的中小企業管理層人員雖然已經認識到了信息化的重要性,但卻沒有認識到企業信息化管理是需要在企業管理念上進行根本變革才能實現的。雖然有一些中小企業采用了現代通信、計算機、網絡技術來構建信息系統,以提高企業的效率與競爭能力,但相應的管理措施沒有到位,如系統的運行、開發等崗位不清、維護、職責不分,經常一人身兼數職。信息安全大約70%以上的問題都是由管理方面的原因造成的。他們大多是按照原有的管理模式進行改造,結果造成一種信息化的假象,致使“信息化”走向了徒有其表的誤區,信息安全也沒有得到足夠重視。
3、人才短缺專業人員匱乏。
中小企業一般很難有足夠的吸引力留住信息化及信息安全這一領域的人才。因此,在這種人才短缺的情況下,自然影響到企業信息化的進程。主要表現為:企業一般沒有自己的信息化建設人才隊伍。
信息技術專業人員的知識結構也不能達到要求,掌握技術的不懂管理,懂管理的又不會技術,而且信息安全往往沒有專業人員進行管理。
客觀的說信息安全領域的知識和技能在信息技術領域應歸類于高階層面,因為信息安全從業人員不只縱向上要對各項工作有精深的理解,橫向上還需要對信息系統的整體邏輯乃至企業的業務邏輯有深刻的認知,特別對于信息安全管理的經驗有很高的要求,這從很大程度上造成了中小企業難以具備足夠的技術力量來保障信息安全設施的運轉;其實拋開信息安全技術力量儲備不論,即使是應用層面的信息技術力量,在中小企業中也經常出現不敷使用的情況,即使很多較大規模的中型企業,往往也只能做到保證有專人負責信息化工作而已,而越向更小規模的企業探究,愈會發現這種技術力量不足的情況所造成影響,而且在沒有專職信息技術人員的情況下,信息化事務所需要的時間和資源往往與公司正常業務運營發生正面沖突,使實際情況更趨惡化,而且這個問題往往會造成惡性循環,即信息安全專業人員的缺乏,不僅造成了信息安全理念的傳播無法形成內部源頭,也導致了在評估投入時難于做出正確決策。
4、資金短缺。
中小企業的資金狀況決定了其信息化投入遇到的限制相對較多。企業相對有限的資金,一般要優先投入到直接促進公司業績增長的方向,而無形中就造成了信息資產所面臨的巨大風險;特別是在當今越來越多的企業業務與互聯網有密切的聯系,甚至一些企業的業務完全建立在互聯網之上,以平均不到企業總收入1%的信息安全投入,怎么能保障這些業務的正常運行?雖然中小企業不可能動輒拿出幾十萬乃至上百萬的資金用于信息安全系統建設,但還是應該針對自身情況,盡可能使投入比例接近常規,至少應該使企業核心信息資產的安全得到保證,從實際情況來講,在良好的安全理念指導下,進行細致的規劃和評估,通過適當的投入也是可以達到較好的整體效果,因為在中小企業的應用情境下,信息安全防御廣度是相對容易控制的;中小企業對信息安全產品的要求也不是簡約版產品這么簡單,在達到基本性能和功能要求的基礎之上,還需要充分考慮中小企業的應用方式及習慣,設計出體現其規律和特點的真正適合中小企業的信息安全產品,才能從根本上滿足中小企業信息安全需求。另外不得不重申的是,購置安全產品僅僅只是企業信息安全工作的步驟之一,我們不能只將眼光放在產品的選擇上,相關的安全政策制訂、培訓計劃的選擇以及實施等問題也是信息安全投入不可或缺的組成部分,這些“軟性投入”對企業信息安全的影響往往更加深遠,更加需要企業決策者仔細考量,因為在投入受限的情況下,往往會造成決策層只注重硬件設施投入而不注重管理實施的開展,以及將有限的投入花費在局部問題上,從而造成信息安全“短板效應”,進而無法保證信息安全設施的完整性,最終造成信息安全實施的失敗。
5、中小企業的信息倫理意識不強。
由于某些員工的信息倫理原因而帶來的信息安全問題屢見不鮮。在很多時候,企業的員工都會因為某些不經意的行為對企業的信息資產造成破壞。尤其是在中小企業中員工的信息安全意識往往相對比較落后,對于互聯網上存在的威脅往往缺乏足夠的重視,而企業的管理層對于網絡的使用也沒有很好的管理手段。因此,員工對企業網絡的誤用濫用行為常使安全情況更加惡化,誤用濫用網絡帶來了惡意攻擊、企業機密數據泄露、感染病毒木馬、員工工作效率大幅下降等問題。
從上述分析可以看出企業不但要重視外來防范, 更要注意內部的信息安全保護。企業的信息安全包括安全策略、技術、管理等等復雜的因素, 而非技術、產品就能解決的。中小企業的信息安全保護, 需要一整套從內部核心到邊界再到邊界外的完整的信息安全管理機制。由于中小企業自身規模小、資金有限,安全建設需要特別考慮經濟問題, 力求成本低、可靠性高和實用性強的安全解決方案。
ISO27001是一套全面嚴謹的信息安全管理體系,旨在幫助各種不同類型和規模的組織實施并運行有效的信息安全管理,從而增強企業識別、防止、減少和控制組織信息安全風險的能力。中小企業也可以運用 ISO27001信息安全管理系統的一些方法和措施提高自己的信息安全管理水平。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
