1、企業管理者和信息管理部門在企業信息安全管理中的作用引言在企業里，企業管理者對企業信息安全的要求決定了企業信息安全管理的深度。同時，信息管理部門對信息系統的管理和維護也決定了企業能否達到信息安全管理的設定目標。1、企業管理者對企業信息安全管理的目標和責任1.1企業管理者有責任推動企業信息管理的運行企業管理者要確保企業信息安全，首先做到以下幾個方面:第一，管理者要建立企業信息管理機構，創建企業信息管理框架，并且推動信息管理制度的建立。第二，企業管理者需要確保第三方合同的安全性，定義第三方合同的安全等級，尤其要控制第三方合同中要求訪問企業信息系統的條款。1.2企業管理者有責任對企業信息進行分類企業管

2、理者根據企業情況，對企業信息進行分類有助于實施企業信息安全管理策略并且保護企業資產。同時，這種合理的分類能使企業可以及時調整適當的財力、物力來對企業主要的信息數據及系統實施重點保護。但是，過度的保護不但浪費企業資源，還在很大程度上影響企業的正常經營;而如果保護不足，更有可能致使企業主要的信息數據以及系統產生巨大的安全隱患。根據對企業信息的分類，企業管理者可以對企業中的信息數據和系統指定相應的責任人，并要求落實登記。只有這樣才可以對信息系統實行分級保護，實現有序、高效的安全管理。1.3企業管理者有責任管理員工的信息安全企業管理者必須要在企業員工中普及有關信息安全知識，同時強化信息安全意識，從而降

3、低有意或無意的人為風險;要求所有員工能夠理解企業信息安全的責任;要求所有員工閱讀保密制度并簽汀保密協議;根據企業處罰條例，對違反企業信息安全管理要求的員工進行處罰。1.4企業管理者對信息訪問權限的管理企業管理者要確保完善可行的信息安全管理措施，針對企業實際情況確立角色、授權、訪問控制的分配流程，根據流程對信息系統訪問實行管理，能夠有效阻止非授權人員訪問信息系統，從而保證企業信息的保密性、完整性和可用性。1.5企業管理者對業務連續性的管理企業管理者應該制汀業務連續性計劃，保證企業重要信息系統(包括硬件、軟件、數據、物理環境及其基礎設施)受到偶然的或者惡意的原因而遭到破壞、更改、泄露時能夠快速反應

4、，保持系統連續、可靠、正常地運行，信息服務不中斷，最終實現企業的信息安全。1.6企業管理者確保企業守法作為企業管理者，應該學習、遵守國家關于信息安全相關的政策和法規，確保企業信息安全制度符合法律框架;遵守國家法律，實施版權保護措施，禁止企業內部非法使用拷貝版權產品;保護企業內部重要文檔，防止出現丟失、篡改及破壞行為;當企業發生信息安全事故以及疑似信息安全事故時能夠及時上報相關部門，并通過正確的渠道進行處理。2、企業信息管理部門的安全責任2.1企業信息管理部門需要保障環境和設備安全企業信息管理部門必須確保信息設備存放在安全區域，如企業機房、機柜、檔案室、機要室等，并制定嚴格的出入制度，保證訪問處

5、于可控狀態。同時信息管理部門在選擇設備存放地點時，必須保證設備環境安全，避免受水、電、雷擊、電磁干擾、被盜等事件破壞;對于企業重要設備必須安裝不間斷電源(UPS)等防止設備出現突然斷電;電氣、網絡的布線應符合國家安全規范，同時對信息管理部門等與設備接觸的員工進行安全授權和相關知識培訓;建立設備報廢流程，確保報廢設備內存儲的企業信息及時徹底地清除。2.2企業信息管理部門需要保證信息數據的安全1)操作人員安全管理;信息管理部門根據需求對操作人員進行分級管理，通過各級賬號權限的控制來實現對信息系統訪問的安全控制。同時保證在操作人員變動等情況下及時更新訪問權限。要求各級賬號使用強密碼，并通過安全的準入

6、系統對登錄請求進行驗證。一是驗證請求方式，當同一網段在單位時間內出現多次登錄用戶及密碼錯誤時，應封閉其所在網段的數據請求并發出報警;二是驗證系統安全，當操作人員登錄系統后，對其使用的操作系統進行安全驗證，并要求針對存在的安全隱患進行修復操作;三是檢測登錄用戶操作是否影響信息系統的安全，防止非法操作;四是檢測信息系統自身數據是否被篡改，并對所有登錄用戶的數據操作進行記錄;。2)數據安全管理;根據企業安全管理制度，保證數據存儲設備(介質)的安全;針對企業重要數據進行硬件加密保護，對數據的操作需經主管領導審批通過后方可進行;定期進行數據備份，同時對備份數據通過多種方式存儲，并異地存放。對企業重要信息

7、系統必須進行內外網的物理分隔，對接入設備嚴格控制;互聯網接口必須配置硬件防火墻，接入互聯網的信息系統均要安裝軟件防火墻或殺毒軟件，并定期對所有軟件進行補丁更新;企業的硬件設備和軟件提供商需要進行遠程服務的，在工作結束后應立即斷開連接，并且這種接入必須通過日志文件進行記錄;所有與分支機構、客戶、供應商等第三方的聯網連接必須使用VPN，以防止信息被泄露、篡改和復制;在使用無線網絡接入時必須通過企業信息管理部門的評估和企業管理者的批準，同時必須經過加密認證和訪問控制;此外，企業信息管理部門有必要定期對信息系統的互聯網接入進行審查。2.3企業信息管理部門對信息系統開發和維護的管理企業信息管理部門對信息系統開發和維護的管理主要是依據信息系統及軟件安全的需求，依據新系統對企業數據的保密性、完整性和可用性需求，建立企業信息安全管理制度，建立用戶分級管理標準;并對信息系統開發及支撐環境的安全提供保障，同時建立信息系統開發流程和軟件升級的安全準則。3、結語綜上所述，在企業信息安全管理過程中，企業管理者應該全面履行企業信息安全管理責任;企業員工應該積極落實企業制定的信息安全管理制度;信息管理部門應該依據企業制定的信息安全管理規劃，實施和完善信息安全管理制度，只有同時做到這三個方面，才能有效地保證企業信息安全。參考文獻：1謝芳，楊翠萍.