购物车(0) 期刊中心 科普订阅 SCI杂志 范文中心 投稿指导
在线咨询7X16小时在线
公务员期刊网 精选范文 国家信息安全的重要性范文

国家信息安全的重要性精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的国家信息安全的重要性主题范文,仅供参考,欢迎阅读并收藏。

国家信息安全的重要性

第1篇:国家信息安全的重要性范文

[关键词]中国电子;CEC;信息安全

1引言

中国电子信息产业集团有限公司是“共和国的长子”,也是电子信息产业的“国家队”。三年前,为改变制约集团公司科学发展的重大结构性问题,进一步提升中国电子对国家经济的贡献力,中国电子集团党组审时度势,科学谋划,果断做出实施“新型显示、信息安全、信息服务”三大系统工程的战略决策部署。中国电子集团聚集团之力,积极开展战略合作,周密组织、大力协同、联合攻关,履行央企的政治责任、经济责任与社会责任,体现了中国电子集团领导班子超前战略谋划的眼界、组织高度复杂系统工程的能力和中国电子人强国惠民的自觉担当。三年布局,如今已开花结果,三大系统工程建设成果喜人,各项经营指标连创历史新高,企业核心竞争力得到明显增强。近年来,信息技术的无孔不入带来了人类生产生活和思维方式的改变,同时也引发了人们对信息安全问题的担忧。“斯诺登事件”后,信息安全问题更是成为影响全球的重大课题。指出,网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,没有网络安全就没有国家安全,没有信息化就没有现代化。中国电子集团董事长、党组书记芮晓武指出:中国电子集团作为电子信息产业国家队,在保障国家信息安全方面责无旁贷,我们要准确把握总书记作出的战略判断,深刻认识信息安全工作的极端重要性,因势而谋,应势而动,顺势而为,将“信息安全系统工程”推向深入,同时联合产业力量,共同铸造我国网络安全新长城,托起中国信息安全强国梦。

2审时度势战略先行,筑起国家安全屏障

进入互联网时代,国家已经从传统的领土、领海、领空、太空四大疆域延伸到网络空间。维护国家网络,关键在于保障国家网络安全。党的十报告首次明确了网络安全的战略地位,提出要高度关注网络空间安全。事实上,我国正面临着严峻的信息安全形势。中国电子集团掌门人芮晓武董事长意识到肩上的责任重大。中央企业作为“共和国的长子”、党执政的重要基础、中国特色社会主义的重要支柱和全面建成小康社会的重要力量,必须在维护国家利益方面勇于担重任、挑大梁。中国电子集团有自主可控的安全芯片、安全整机、基础软件和应用系统,关键时刻要替国分忧,扛起信息安全产业国家队的重任。基于雄厚的产业基础,和对国家网络安全需求的深刻理解,2011年,中国电子集团便着力布局信息安全领域,提出实施“信息安全系统工程”的战略举措,即中国电子集团二号工程。围绕信息安全产业进行战略转型,通过内部整合及充分组织社会资源,以“4106”布局为蓝图,发展“安全芯片、整机、基础软件、安全应用产品”4类信息安全基础产品,实施10项信息安全系统工程,建立健全“信息安全运维、集成、咨询、灾备、培训、测评”6项信息安全服务能力,逐步构建可发现、可防范、可替代的国家信息安全产业体系,形成和谐共生的产业生态圈,铸造我国信息安全“长城”。芮晓武董事长说,作为中央企业,一定要首先学好政治经济学。因为中国特色社会主义市场经济条件下,行业变化、市场变化、产业变化均与国家政策导向有极其密切的关系。必须把中央政策吃准,吃透,才能有超前的战略眼光,对未来作出准确研判,先于市场启动布局,牢牢把握发展先机。从事信息安全系统工程,体现了中国电子集团的战略价值。我们能够在国家信息安全领域有所作为,有重大项目支撑,就是由于中国电子集团早期卡准定位、提前布局、果断实施的结果,如果没有当初前瞻性的产业布局,就没有今天的一系列发展成果。

3勇担重任不辱使命,夯实安全防护能力

三年来,中国电子集团为了国家安全的目标,面对困难不畏缩,历经挫折不气馁,保持定力不动摇,牢牢把握信息安全产业这个主攻方向,坚持战略取胜,积聚实力,苦练内功,在国家需要的时候挺身而出,参与了一系列国家信息安全重大项目的实施。在实现自身转型升级目标的同时,培养了人才,锻炼了队伍,凝练了精神,建立了核心能力,取得了丰硕成果,“国家队”的影响力不断增强。在我国信息安全核心关键技术薄弱、企业力量分散的情况下,自2011年起,中国电子集团在工信部支持下,依托国家核高基重大科技专项和安全可靠软硬件应用推广工作,组织了国内30多家基础软硬件厂商、集成商、测试机构、科研机构,成立了工信部“安全可靠软硬件联合技术攻关基地”,共同推进国产化的关键技术攻关,全力推进国产软硬件一体化平台的研发及产业化工作。该攻关基地创新了国家重大科技专项的组织方式,推动了基础软硬件产品的完善与适配,开展6项关键技术攻关,填补了自主技术体系空白。几十家合作单位经过反复磨合、调整、适配,对国产化应用系统进行集成优化,目前已经使整体性能提升5倍以上。为改变自主可控的计算机软硬件系统磨合效率偏低的现状,中国电子集团在最核心的CPU芯片方面布局,选择“联合开发、弯道超车”的全新技术路线,实现既自主可控,又与国际接轨。基于ARM芯片绿色、低耗、完全开放、应用广的特点,采用自主的核心设计,既保障了信息安全,又实现了国际通用,同时适合云计算技术,由此走在世界前列。WindowsXP停止服务后,中国电子集团及时推出“白细胞”操作系统免疫平台,利用以密码为基础的信任链传递,使用可信计算技术的静态度量、动态度量、访问控制等技术,实现计算机识别“非己”的程序、数据等,从而排斥进入计算机的病毒、木马、恶意程序等抗原物质,维持计算机的健康。“白细胞”自免疫系统实现了主动防御的革命性目标,彻底扭转了计算机系统只能依靠“杀毒、打补丁”等技术进行被动防御的局面。工业和信息化部副部长杨学山对此给予高度评价,“白细胞”操作系统免疫平台的使可信技术取得了实质性的进展。在全球激烈的网络竞争中,我国保障网络信息安全要想“站得住”,必须形成“国家队”的力量。2014年4月,在中国电子集团等60家单位发起和推动下,中关村可信计算产业联盟正式成立。中国电子集团作为理事长单位,对于推动可信计算产业发展作出了应有贡献。可信计算的核心思想是通过在硬件上引入可信芯片,构建可信链条,从根本上解决计算机体系结构的安全问题,改变传统的“封堵查杀”等“被动应对”的防护模式,形成“主动防御”能力,实现“进不来、拿不走、改不了、看不懂、赖不掉”的安全效果。中国工程院院士沈昌祥寄语说,要通过创新推动,使联盟成为国内产业联盟创新典范,成为建设自主可控、安全可信网络安全保障体系的主力军。回首往事,芮晓武董事长认为这三年的辛苦是完全值得的。中国的信息安全面临很多难题,是一块“硬骨头”。中国电子集团作为央企和国家队,基于长期的技术产业积累,勇于啃这块“硬骨头”。我们要广泛联合科研、企业、应用单位众多力量,加快技术创新、加快应用推广、加快产业发展,并建立高效协调的行政、技术、保障支持系统,为国家实现自主可控、安全可信的网络安全多做贡献。

4凝聚力量共谱新篇,铸造信息安全长城

中国电子集团的信息安全系统工程已进入新阶段,但芮晓武董事长说这并不意味未来就一帆风顺了,更苦、更累、更艰巨的工作还在后面。中国电子集团已在谋划新的布局,开启新的篇章。芮晓武董事长认为,做好信息安全工作,最重要的还是联合。任何一家企业,都无法独立担当国家信息安全的重任,必须联合产业的力量团结协作,合力推进,进一步形成国家防护能力。中国电子集团自2012年起便动作频频,逐步完善内部组织保障体系:成立了中国信息安全研究院,赋予其技术总体和市场运作平台职能;与国家专控队伍联合组建中电长城网际系统应用有限公司,作为“8+2”重点行业和智慧城市信息安全解决方案的服务商;组建了深圳中电长城信息安全系统有限公司,承担自主可控计算机、服务器和网络交换设备的研发和推广;收购了盛科网络(苏州)有限公司,该公司是IP/以太网核心芯片及系统自主研发商,提升了中国电子集团的信息安全芯片能力;并购了广州鼎甲计算机科技有限公司,致力于容灾备份软件领域,为数据安全提供完美可靠的数据保护方案。这一系列的举措不仅丰富和完善了中国电子集团整个信息安全的业务体系,也增加了企业内外部的协同能力。三年来,中国电子集团始终把自主创新、开放合作作为提升产业竞争力和企业可持续发展能力的关键手段。中国电子集团相继与国防科技大学、北京邮电大学、西安电子科技大学、中科院信息工程研究所、中国信息安全测评中心、中兴通讯股份有限公司等单位和机构签订数十余份战略合作协议,与神华集团、航天科技、中国石油等建立了战略合作关系。目前,中国电子集团已为神华集团、中国石油、新华社、中国航信等重要机构和部门,以及地方省市提供了信息化建设总体安全体系设计咨询和基于信息安全的云服务平台,更多更深入的合作正在逐步展开。为了进一步加快产业联合,中国电子集团积极打造国际先进水平的未来科技城信息安全产业基地,为国家信息安全保障体系提业支撑。信息安全产业基地总规划建筑面积30万平方米,其中项目一期建筑面积16万平方米,于2014年投入使用,未来将在基地内培育信息安全技术与产品的科研开发、生产制造、评测认证、人才培养和规模市场等较为完整的国内一流信息安全产业化体系,力争在较短的时间内把基地建设成为我国重要的信息安全研发、服务和成果产业化中心。通过集聚资源、重点突破,积极打造以可替代、可发现、可防护为目标的信息安全核心方案、产品和技术,中国电子集团为国家重要信息系统穿上“防弹衣”,提高“免疫力”,为国家信息安全保障体系建设提供有力支撑,从根本上解决了我国网络安全的心腹之患。

5结语

第2篇:国家信息安全的重要性范文

模式;信息;信息化;建设

[中图分类号]F552[文献标识码]A [文章编号]1009-9646(2011)03-0069-02

一、模式是对现实事物的内在机制及事物之间的关系的直观和简洁的描述,是再现现实的一种理论性的简化形式,可以向人们提供某一事物的整体形象和简明信息。

二、德福勒模式是信息交流的一种模式,又称为大众传播双循环模式,该模式在申农的通信系统模型的基础上强调了信息交流的双向性和信息干扰的多途径,指出信息交流是一个螺旋上升的循环系统,尤其是反馈的提出使人们对信息交流有了更深的认识。

德福勒模式是在“7W”模式上产生的,“7W”即谁、说了什么、通过什么渠道、对谁、产生什么效果、在什么情况下、为了什么目的。与之不同的是首次提出了反馈,反馈是信息交流过程中信息接收者对信息发出者发出的信息的反应。这就把信息交流的过程描述得更加完整。

三、我国提出走新型工业化道路,新型工业化道路的含义有以信息化带动工业化,以工业化促进信息化,这就要求抓紧信息化建设,信息化是指培养、发展以计算机为主的智能化工具为代表的新生产力,并使之造福于社会的历史过程。那么德福勒信息交流模式对信息化建设有什么启示意义呢?这就要从该模式的各个环节说起。实现信息化就要构筑和完善7个要素:开发利用信息资源、建设国家信息网络、推进信息技术应用、发展信息技术和产业、培育信息化人才、制定和完善信息化政策、建设国家信息安全保障体系。德福勒模式能够起到指导作用。

1.开发利用信息资源

开发利用信息资源是信息化建设中的重要环节,而信息资源不同于别的资源,该模式强调了在信息交流的各个环节中都存在噪音,这就说明信息不是稳定不变的,信息在发出者与接收者之间存在差别,注意到这一问题,就会在获取信息的过程中明确哪些是有效的信息并能够成为资源。这就有利于建立和完善信息资源开发利用体系,推进国家基础信息库的建设,拓展相关应用服务。充分发挥信息资源开发利用对节约资源、能源和提高效益的作用,促进经济发展方式由粗放型向集约型转变和资源节约型社会的建设。

2.建设国家信息网络

该模式说明信息交流是一个螺旋上升的循环系统,它对信息交流的全过程概括地较为完整,这对建设完整的国家信息网络具有启示意义,尤其是反馈的提出,体现了信息交流的双向性,有利于国家各个部门的信息化建设,使各个部门联系更为紧密,信息交流更为便捷,从而成为一个整体的信息网络。

3.推进信息技术应用,发展信息技术和产业

信息交流的目的是促进信息的应用和在生,这就产生了信息技术和产业。该模式突出了信息交流的重要性,有利于在信息化建设的过程中通过信息交流和反馈的过程实现信息技术关键领域的自主创新,提高国民信息技术应用能力,开展形式多样的信息化知识和技能普及活动,提高国民受教育水平和信息能力。重视交流与反馈,走信息的“引进来,走出去”战略,培育有核心竞争能力的信息产业,建设创新型国家。

4.培育信息化人才

明确了信息交流的模式之后,为了实现信息的有效交流和推进国家的信息化建设就需要健全信息化人才培养体系,鼓励各类专业人才掌握信息技术,培养复合型人才。

5.制定和完善信息化政策

信息交流是一个完整的过程,这就需要制定相应的信息化政策来保障信息交流的正常运行。目前我国正随着世界的科技发展趋势步入一个信息化时代,面对这一趋势,为了加快信息化进程,必须制定和完善相应的信息化政策。

6.建设国家信息安全保障体系

既然该模式说明在信息交流过程中存在噪音,一些关系到国家安全的信息就不免受到危害,这就存在信息安全问题。这就要求全面加强国家信息安全保障体系建设,主动应对信息安全挑战,实现信息化与信息安全协调发展,建立和完善维护国家信息安全的长效机制。

四、总之,推进我国信息化建设就是在国家统一规划和组织下,在农业、工业、科学技术、国防及社会生活各个方面应用现代信息技术,深入开发广泛利用信息资源,加速实现国家现代化进程,充分利用信息技术,开发利用信息资源,促进信息交流和知识共享,提高经济增长质量,推动经济社会发展转型。这需要充分理解德福勒信息交流模式,使之对我国的信息化建设起到指导作用。

[1]信息化baike.省略/view/27.htm2008.11.29.

[2]我国信息化发展的战略重点 zhidao. baidu . com /question/ 17504883 . html? si=32008.11.29.

第3篇:国家信息安全的重要性范文

北京东方通科技股份有限公司是国产中间件的开拓者和领导者,在中间件领域已经耕耘了21年。长期以来,东方通坚持追求“四个一”,即“一流人才,一流技术,一流服务,一流效率”。在人才培养方面,东方通制定了一套吸引、培养、激励人才的机制,为公司发展积聚了一批懂管理、技术精的优秀人才。依托一流的人才,东方通的技术创新进展迅速,成功开发出一系列创新型产品,引领着国产中间件的创新之路。同时,东方通积极开展服务创新,不断完善服务内容和技术支持服务网络,快速响应用户的服务需求,为行业信息化建设提供贴身服务。此外,东方通还积极向管理要效率,通过管理机制的不断优化,形成了促进公司茁壮成长的强大推力。

东方通在行业信息化领域不断攻城掠地,其产品已广泛应用于金融、电信、电子政务、交通等众多行业,市场份额连续多年位居国产中间件厂商首位。正是凭借着突出的发展成就,东方通受到了国家、用户、业界的广泛认可,先后获得了“国家科学技术进步奖”、“国家规划布局内重点软件企业”、“中国中间件软件市场年度成功企业”、“中国IT用户满意度综合第一”’等荣誉,并多次参加国际标准制定工作,谱写出中国中间件产业发展的辉煌篇章。

早在东方通创立之初,董事长张齐春就和年轻的团队一起确定了公司的愿景――“做一个伟大公司”。中间件具有技术门槛高、市场壁垒高等特点,当时的基础软件领域完全被国外公司垄断,因此,很多人对国内从事基础软件业务的企业并不看好。然而,东方通矢志不渝。如今东方通不但成为了中国中间件行业的领军企业,并且拥有了与国际巨头在市场上一争高下的实力。

第4篇:国家信息安全的重要性范文

信息安全不仅深刻影响着一个国家的政治、经济和国防安全,是国家安全的重要组成部分.而且还是 个关系国家、社会稳定、文化侵蚀的重要问题、国防的现代化、个人经济与社会生活的自由开展、企业的各项经济与社会活动的正常开展都离不开信息安全的保证。党和政府高度重视我国信息安全问题 主席主持召开中央网络安全和信息化领导小组第一次会议时提出“没有网络安全就没有国家安全,没有信息化就没有现代化”。主席还强调 建设网络强国,要把人才资源汇聚起来,建设一支政治强、业务精、作风好的强大队伍 由此可见信息安全问题不容忽视,我国需要加强信息安全保障工作,而信息安全专业人才的培养是信息安全保障工作的必备基础和先决条件。

我国信息安全专业人才缺口很大,处于供不应求的态势。未来,随着信息化高速发展,社会对信息安全专业人才的需求量还会大量增加。为了改善信息安全专业人才缺失的现状,不让人才的缺失成为制约我国信息安全发展的瓶颈,信息安全专业人才培养需要优化。

现状

我国对信息安全专业人才的培养十分重视 了多项政策支持。2003年中办发[2003]27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》,明确提出信息安全重要性,强调信息安全人才培养。2005年教育部下达了《教育部关于进一步加强信息安全学科、专业和人才培养工作的意见》的文件,提出“不断加强信息安全学科、专业建设 尽快培养高素质的信息安全人才队伍,成为我国经济社会发展和信息安全体系建设中的一项长期性、全局性和战略性的任务”。2007年,“教育部信息安全类专业教学指导委员会”成立。2012年国发[2012]23号文件《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》中,提出了信息安全人才培养的政策。政策支持信息安全与保密学科师资队伍、专业院系、学科体系、重点实验室建设,推广信息安全宣传教育培训,要求加快培养创新型,应用型专业人才。

我国最早的信息安全人才培养可以追溯到七十年代,有少数军事专业院校设置了信息安全相关专业――密码学专业。1989年,中国科技大学研究生院建立了“信息安全国家重点实验室”。该实验室是国家级信息安全实验室,承担国家信息安全重大科研工作,重点培养具备高层次专业水平的信息安全高级人才。1998年经教育部批准北京理工大学、长春光学精密机械学院、电子科技大学以及西安电子科技大学4所高校首先设置了信息对抗技术本科专业。2001年,武汉大学第一批正式设立了信息安全本科专业,开始招生。自此之后,教育部又先后批准了西安电子科技大学、上海交通大学、北京邮电大学等18所高校设立信息安全专业。

国务院学位委员会、教育部于2002年下发了《关于做好博士学位授予一级学科范围内自主设置学科、专业工作的几点意见》(学位[2002]47号)。各大高校积极响应,北京工业大学、北京理工大学、武汉大学、北京邮电大学、华中科技大学、信息工程大学、中国科学院软件所、国防科技大学、哈尔滨工业大学等一些知名高校,挂靠相近的一级学科,分别在计算机科学与技术、信息与通信工程、电子工程及数学等一级学科下,自主设置了信息安全相关的二级学科博士点、硕士点。博士点、硕士点的设立,促进了信息安全专业的建设,为我国培养出一批高层次的信息安全专业人才、

根据武汉大学中国科学评价研究中心统计,截至2014年,全国共有77所高校开设了信息安全专业,17所高校开设了信息对抗技术专业。

问题

在国家多项政策的指导下,我国信息安全教育体系已经初步建成,为国家培养了一批批信息安全专业人才,但是不可否认目前我国信息安全专业人才培养仍然存在许多问题。

(一)社会成员缺乏信息安全意识

有“世界头号黑客”之称的Kevin Mitnick曾说过一句话 “人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备,可只要有人给毫无戒心的员工打个电话……”。由此可见,人是信息安全体系的最关键因素.信息安全意识薄弱是最大的安全隐患。目前.我国社会成员普遍缺乏信息安全意识,有的企业愿意投资在安全技术和产品上,但是不愿意投入在员工信息安全意识培养上,有些个人不重视个人或企业信息的保护,甚至认为信息安全只是信息安全技术人员的工作,与自己无关。根据上海社会科学院信息研究所对上海市民进行的个人安全意识调研,结果显示市民主动学习个人信息安全知识的意愿不强,对个人信息安全法律法规的认知一般,了解网站和机构的个人信息安全保护政策的意愿较弱,甚至在个人信息安全受到侵害后,80%以上的受访者选择不予理睬或自行解决。

(二)学科建设存在问题

我国信息安全学科建设初见成效,由最初仅有几所军事院校开设有密码学专业.到如今已经发展成近百所高校均开设有信息安全相关的本科、专科,并且多所高校设置了信息安全专业的博士、硕士点,形成了学士、硕士、博士的完整教育体系。但是由于信息安全学科不是一级学科,研究生、博士生培养专业目录中没有与之对应的学科。各高校只能挂靠在与之相近的一级学科下,自主设置了信息安全相关的二级学科。相近的学科毕竟存在差异,基础理论、教学侧重、研究方向均不相同,将直接影响我国信息安全人才培养 另一方面,信息安全不是一级学科导致信息安全学科规模受到影响,师资、招生数量、相关基础设施配套情况均受到限制,制约我国信息安全人才培养 导致我国信息安全人才缺乏。中国工程院院士,国家信息化专家咨询委员会委员,著名信息系统工程专家,沈昌祥曾院士多次建议将“信息安全”设置为一级学科。

(三)人才供需失衡

作为信息产业中最重要的环节,信息安全与社会发展密切相关,各行业各领域信息化建设都离不开信息安全,近年来,我国信息产业发展迅速,对信息安全专业人才的需求显著增大,特别是金融、证券交通通讯、工业等重点领域。据统计,全国的信息安全人才市场缺口超过50万人,2013年仅上海信息安全人才缺口就达10万人。就目前情况来看,社会各行业需求量大约每年增加1.2万人左右,而每年我国信息安全专业毕业生不足1万人,信息安全专业人才的供给和需求处于严重失衡状态。教育部和国家信息安全工作协调主管部门已经把信息安全人才培养纳入特殊行业紧缺人才培养计划。

建议

随着社会信息化发展,信息化水平的高低已成为衡量一个国家现代化程度、综合国力、国际竞争力经济增长能力的重要标准。信息安全问题受到社会广泛关注,信息安全地位日益提升。

作为信息安全保障的基础,信息安全专业人才培养也在各国受到重视。我国经过多年努力,信息安全教育体系已经基本成形,但是同时也存在一些问题制约了我国信息安全发展。我国目前信息安全人才市场缺口较大,信息安全专业人才培养现状不能满足我国飞速发展信息化进程的巨大需求。

综合上述分析,对我国信息安全人才建设提出以下几点建议:

一是出台信息安全人才顶层规划 从国家层面制定战略.统一部署.组织做好信息安全人才顶层规划,制定信息安全人才教育培养计划.建立信息安全人才保障体系。各个部门配合共同推进信息安全人才建设进程。

第5篇:国家信息安全的重要性范文

金融信息化是一个热点话题,关系金融行业的稳定性和发展。所谓金融信息化,是构建在由通信网络、计算机、信息资源和人力资源等四要素组成的国家信息基础框架之上,由具有统一技术标准,能以不同速率传送数据、语音、图形图像、视频影像的综合信息网络,将具备智能交换和增值服务的多种以计算机为主的金融信息系统互连在一起,创造金融经营、管理、服务新模式的长期系统工程。

当今世界经济全球化趋势日益明显,经济全球化,首先是信息全球化,随着人类社会进入信息时代,金融信息化进程加快,因特网在信息全球化中扮演着非常重要的角色。通信、计算机技术等高科技手段在银行业广泛运用,外资银行大举进入,网络银行迅速发展,给人们带来方便的同时,利用信息网络技术犯罪也在迅速增长。曾几何时,银行存折和信用卡明明在自己手里,银行支票和印章明明锁在保险柜里,计算机操作密码慎之又慎,账户上的存款却不翼而飞。

安全是金融信息系统的生命。在金融信息系统日益发展,信息越来越向上集中,规模越来越大,金融业对它的依赖性不断增加的同时,金融信息化系统安全的重要性也与日俱增。它关系到金融机构的生存和经营的成败,所以,应把金融信息化系统的安全视同资金的安全一样作是金融机构的生命。金融信息系统的安全不仅是金融行业本身的问题,它与我国的经济安全、社会安全和国家安全紧密相连,是保障金融业稳定发展、增强竞争力和生存能力的重要组成部分,金融信息系统的安全已成为我国金融信息化建设中具有战略意义的关键问题。

鉴于金融信息化安全的重要性,对阳泉市农村信用社信息化建设进行了初步调查,发现存在以下几方面的安全问题:

(1)内网与外网没有安全隔离。

目前,我们的业务网络与外网没有完全隔离,并未采取有效的安全措施、运行业务系统的计算机在没有相应安全措施的情况下与外网进行连接。

(2)一些拓展服务没有相应的安全保障措施。

我们的一些拓展服务,没有相应的安全措施。如网上对账系统,服务器运行于外网环境中,没有相应的安全措施,那么可能造成客户信息的泄密;对账系统运行于HTTP协议下,此协议不具备数据加密等要求,同样在数据传输中可能造成客户信息的泄密。

(3)员工信息化安全意识淡薄。

员工对业务系统、计算机密码的设置、保管、更换没有引起高度的重视。很多人的密码较简单,还有很多人的密码为系统预设密码。

(4)计算机外设的使用没有安全保障措施。

对于大多数的计算机外设的使用,我们没有相应的安全制度和措施。外设的随意使用,可能造成我们信息的泄密,如:移动硬盘。

针对以上问题,经过分析研究,觉得以下几方面的措施,可以有力的保障信息安全:

(1) 内网与外网进行有效隔离。

针对内网与外网有效隔离,可以采取运行内网业务计算机上安装杀毒软件、防火墙,并及时更新病毒库、定时查杀;对计算机进行定期扫描系统及应用漏洞;避免安装未知软件,软件均由内网FTP服务器下载;外网出口架设硬件防火墙,并配置访问控制列表,防止计算机被攻击、下马。

(2) 拓展业务采取安全保障措施。

对于拓展业务采取相应的安全保障措施。接入外网的服务器,安装杀毒软件、防火墙,并及时更新病毒库、定时查杀;进行定期扫描系统及应用漏洞;禁止安装非业务相关软件;外网出口架设硬件防火墙,并配置访问控制列表,除业务应用外所有端口封闭;WEB应用采用安全的传输模式,如HTTPS,制作访问证书,并对相应客户颁发相应的访问证书,否则无法访问到业务服务器,并对证书进行定期撤销、更新;修改应用及数据库常用端口、避免端口被扫描及攻击;WEB应用的用户名密码采取MD5方式加密,该加密方式为不可逆,防止客户用户名与密码被窃取;

(3)加强员工信息安全培训。

分批、分级对员工进行信息安全培训,加强员工对信息安全的重视程度、培养信息安全方面的基础知识。

第6篇:国家信息安全的重要性范文

【关键词】相似矩阵;因子分析;关键词词频

1.研究背景

随着信息网络的发展,我国网络安全事件频发,如银行账户被盗资金流失,个人信息泄露,网络欺诈等等。如何在提前预防这些事件,如何及时做出有效的决策,如何在事故发生后采取行动越来越成为一个关注热点。

本实验采用中国学术期刊网(CNKI)全文数据库并选择网络数据总库,时间是2008/1/1-2013/1/1,制定来源为核心刊物,指定主题为“信息系统安全”,共搜到2000篇文献信息。

2.数据处理

通过SATI软件将txt文本数据源进行初步处理,统计关键词词频,获得原始关键词4070个。将所有关键词复制到Excel中进行分列,选择词频数不低于22次的关键词,筛选出51个关键词作为高频词。在SATI软件中利用高频关键词进行两两共词检索,统计它们在有效文献中出现的频率,建立一个51x51关键词的词频共现矩阵。由于在试验过程中词频数量级不同产生的差异使实验不准确。因此将共词矩阵转化为相似矩阵。

共词矩阵转化为相似矩阵的具体方法用Ochiia系数将共词矩阵转换成相似矩阵,即将共词矩阵中的每个数字都除以与之相关的两个关键词总频次开方的乘积,其计算公式是:

此时对角线上的数据表示该词自身的相似程度,经上式计算均为1。笔者通过Excel利用该公式进行计算,得到的部分相似矩阵。相似矩阵中的数字表明其对应两个关键词之间的亲疏关系,数值越大表明关键词之间的距离越近,相似度越好;反之,数值越小表明关键词之间的距离越远,相似度越差。

3.数据分析与挖掘

因子分析的目标是用尽可能少的因子取描述众多指标间的联系,其基本思想是把研究对象的变量分组,使同组内的变量相关性较高,不同组的变量相关性较低。每组变量称为一个公共因子,这样几个公共因子可以反映原资料大部分信息。

图1 碎石图

对相似矩阵使用SPSS17.0软件进行因子分析,选择“主成分”、输出“碎石图”“基于为旋转的因子解”,得到因子分析的结果如图1所示。

一般而言,特征值大于1的因子应被保留,特征值小于1的因子应被舍弃。那么,从表7中可以直观地判断出应从51个关键词中提取20个因子;另一方面,所提取的因子应该能概括总体信息的 60%以上,根据因子分析解释的总防长提取 18个因子即可涵盖61.504%的信息。而与因子抽取相配套的因子个数碎石图(如图 10所示)则直观地显示出因子分析的前18个因子类别是比较清晰的,因此,提取因子的个数应介于18-20之间,即将51个关键词分为18-20个类团。26个主成分命名如表1所示。

表1 主成分因子

1防护机制建设 2保护措施 3风险和信息 4系统安全 5会计信息系统

保护制度0.837 信息技术0.770 风险管理-0.514 信息安全0.506 会计信息系统0.509

国家信息安全0.772 防火墙0.746 信息科技-0.52 信息系统0.540

保护工作0.909 安全保密0.599

安全建设0.699

安全等级0.920

等级保护0.776

6电子政务 7安全域 8风险分析 9网络与信息安全 10信息化

11医院信息系统 12访问控制 13信息安全保障 14计算机 15安全风险

16信息化建设 17内部控制 18安全管理 19信息安全保障 20管理信息系统

4.研究热点分析

根据上述国内应急预案领域的研究结构结合文献结构,概括起来,国内对应急研究热点集中在以下几点:

(1)防护机制建设

从因子载荷系数来看,有关防护机制建设的关联性最强,包含了保护制度、国家信息安全、保护工作、安全建设、安全等级、等级保护。由于信息系统安全工作的特殊性,诸多研究者均从建立系统机制入手,侧重理论成果的建立,为信息系统安全领域的发展奠定基础。信息系统安全工作参与国际化竞争,与国家安全息息相关,是研究者们现在以及未来不会停歇的研究重点。

(2)保护措施

这一分类主要包含三个方面信息技术、防火墙和安全保密。信息系统安全离不开信息技术的支撑,不同信息系统建立防火墙和安全加密的要求不同,实现途径也不同,研究者在技术实现方面的研究越来越完善。

(3)风险和信息

维护信息系统安全的前提是了解信息系统可能面临的风险,目标是掌控风险,提前预防,将造成严重后果的可能性降到最低。网络信息的传播途径趋于多样化,使得系统信息安全的风险加大,研究系统可能存在的风险在企业中越来越有必要。

(4)系统安全

信息系统安全强调系统思维,如何界定信息系统,从哪些角度维护安全是基础性知识。研究信息系统分类能够使信息系统维护工作进行系统性的划分,也是现行信息系统发展的必然要求。系统安全既有技术安全也有人为安全,是现行信息系统安全领域必要考虑的研究方向。

(5)各行业信息系统安全

市场需求是不断变化的,各领域的信息系统建设也需要不断完善,安全工作在各行业内越来越重要,研究者致力于某一行业的信息系统安全工作能够做精做细,在信息系统安全发展的大方向上细分出很多分支,信息系统安全工作得以更深更广的延伸。

(6)控制工作

维护信息系统安全的基本要求在于使外部人员无权访问、内部人员按级别限制访问。现实需求的多样化导致访问权限并非简单设置,既要做到限制,又要可追踪等等。如同设置安全等级机制,控制工作也是信息系统安全的细分领域。研究专家针对不同信息系统类型研究不同的控制机制。

5.总结

本实验以中国期刊全文数据库(CNKI)近五年国内信息系统安全领域核心期刊发表的文章为基础,运用共词分析方法,结合SATI,Excel软件进行词频统计,生成共现矩阵,并利用SPSS软件的系统聚类功能以及因子分析的功能对国内研究现状和方向进行了分析,我国信息系统安全领域有如下特点:

(1)信息系统安全领域里安全防护机制的建设成为当前发展势头最强劲的方向,其中主要安全、保护等级的设定,研究者致力于对机制的完善,跳出技术层面的限制,在理论上研究更加深刻

(2)信息技术不断改进和完善,成为有技术背景研究专家的主攻方向,对于防火墙、信息加密、控制权限等操作层面的研究也成为另一大热点。信息系统安全的维护说到底要技术层面的实现,提高系统运行效率,增加系统的安全性是技术开发的终极目标。

(3)各行业职能信息系统的安全工作越来越重要,细分信息系统的安全工作也表现出差异,满足用户的不同需求,实现安全维护的不同级别也是专家研究的另一大热点。政府、企业、非营利性机构对信息系统的安全工作提出不同诉求,社会的需要推动安全工作的完善,在实践中检验安全工作的有效性。

(4)风险识别与管理作为危害信息系统安全的攻击方是研究工作必须考虑的方面,专家通过对风险的研究能够全面了解信息系统的安全漏洞进而采取措施。随着电子商务、电子政务的发展,此类风险研究的重要性逐年增加。

参考文献

第7篇:国家信息安全的重要性范文

【关键词】 信息系统; 审计; 审计目标

2007年2月国务院国有资产监督管理委员会和国务院信息化工作办联合印发了《关于加强中央企业信息化工作的指导意见》,加快了国有企业信息化建设的步伐。国有企业审计是中国特色社会主义国家审计的重要组成部分。由于企业与公共部门在内部控制、管理和治理方面的差异,导致了企业信息系统审计与公共部门信息系统审计的不同特点。

一、增强国有企业信息系统的可信性

审计机关的审计目标取决于法定要求。根据《中华人民共和国审计法》的规定,审计机关对国有企业财务收支的真实、合法、效益,依法进行审计监督。显然,真实性是国有企业审计的目标之一。信息系统审计是国有企业审计的重要组成部分。国有企业审计的总体目标,决定了国有企业信息系统审计的目标。国有企业审计的真实性目标,必然要求国有企业信息系统提供真实性的信息,这意味着,审计机关的国有企业信息系统审计必须把真实性作为审计目标之一。

根据相关法律的规定,注册会计师也可以对国有企业进行审计。根据我国公司法第165条的规定,“公司应当在每一会计年度终了时编制财务会计报告,并依法经会计师事务所审计。”而且,2008年10月通过的《中华人民共和国企业国有资产法》第六十七条明确规定,“履行出资人职责的机构根据需要,可以委托会计师事务所对国有独资企业、国有独资公司的年度财务会计报告进行审计,或者通过国有资本控股公司的股东会、股东大会决议,由国有资本控股公司聘请会计师事务所对公司的年度财务会计报告进行审计,维护出资人权益。”大家知道,依据注册会计师执业审计准则的规定,会计师事务所对企业财务报表审计的目的是“提高财务报表预期使用者对财务报表的信赖程度。”①这说明,注册会计师国有企业审计的目标是要求财务报表提供的信息具有可信性。注册会计师所审计的国有企业财务报表中的信息是由国有企业的信息系统产生形成的,因而必须对信息系统进行审计。注册会计师对国有企业财务报表审计的可信性目标,决定了注册会计师对国有企业信息系统审计的可信性目标。

同样的审计对象,不同的审计主体,导致了两种不同的国有企业信息系统审计目标。从上述分析不难发现,无论是审计机关还是注册会计师对国有企业进行审计,其中对企业信息系统的审计都是不可或缺的重要组成部分。根据审计法的规定,审计机关对国有企业信息系统审计的目标是真实性。而根据注册会计师执业审计准则,对国有企业信息系统审计的目标是可信性。那么,什么是真实性?什么是可信性?这两种目标之间有什么样的联系和区别?为什么说审计机关应当把增强国有企业信息系统可信性作为审计目标呢?

(一)真实性与可信性的基本涵义

我国审计法强调真实性,根据2010年9月颁布的中华人民共和国国家审计准则(以下简称国家审计准则)的规定,“真实性是指反映财政收支、财务收支以及有关经济活动的信息与实际情况相符合的程度。”那么,什么是真实性呢?真实性只是对财政财务收支及有关经济活动信息质量的最低要求。如果会计信息是真实的,但是不够完整或者披露不及时,仍然不能满足信息使用者的需要,甚至会导致错误的投资决策。事实上,就真实性本身而言,由于会计估计、核算方法等因素的影响,会计信息的真实性也只是相对的,而不是绝对的。所以,把真实性作为审计目标,具有一定的局限性。所谓可信性,从国际审计准则第200号(ISA200)可以看出,当编制的财务报表公允表达(presented fairly)或真实公允(true and fair)时,它才是可信性的。从字面上讲,公允(fair)或公平的要求,强调了财务报表各种使用者之间的利益平衡。从理论上讲,公允表达或真实公允的概念比真实性概念具有更多的内涵,涉及会计适当性、适当披露及审计责任等概念。在国际审计准则第200号(ISA200)中,公允表达是指财务报表是否在所有重大方面按照适用的财务报告框架编制,“公允”还意味着超出财务报告框架所要求披露范围的必要性,以及在极端情况下必须偏离财务报告框架的可能性。适用的财务报告框架,主要是指适用的会计法律法规、会计准则、会计制度等。大家知道,我国会计法强调“保证会计资料真实、完整”。根据会计法的要求,我国的财务报表不仅要具有真实性,而且还要具有完整性。总的来说,可信性并不否认真实性,真实性是可信性的必要前提之一,但真实的并不一定是可信的,可信性的内涵更加丰富,真实性是对财务信息质量的最低要求,可信性反映了对财务信息质量更高的要求。

(二)可信性目标反映了注册会计师审计发展的新阶段

一般认为,受社会需求变化、自身技术手段及审计风险等因素的影响,注册会计师审计目标的发展演变至今经历了四个阶段,即20世纪30年代之前的查错纠弊阶段、30年代中期至80年代验证会计报表真实公允阶段、80年代至90年代中期真实公允与查错纠弊并重阶段,及90年代后期以来的增强信息可信性阶段。虽然同为注册会计师审计的目标,然而从历史发展演变的角度看,真实性只是注册会计师审计的早期目标,当前注册会计师审计准则中的可信性目标反映了注册会计师审计的最新发展,是更高级发展阶段的目标。

(三)可信性目标比“真实公允”具有更加广泛的适用性

20世纪90年代后期,传统的财务报表审计成为更为广义的概念――“保证业务”(Assurance Service)的一个组成部分。我国注册会计师协会译为“鉴证业务”②。2004年国际会计师联合会了《国际保证业务框架》,2005年1月1日生效。2006年我国制定了《中国注册会计师鉴证业务基本准则》,2007年1月1日起施行。鉴证业务是指注册会计师对鉴证对象信息提出结论,以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。鉴证对象与鉴证对象信息具有多种形式,主要包括:当鉴证对象为财务业绩或状况时(如历史或预测的财务状况、经营成果和现金流量),鉴证对象信息是财务报表;当鉴证对象为非财务业绩或状况时(如企业的运营情况),鉴证对象信息可能是反映效率或效果的关键指标;当鉴证对象为物理特征时(如设备的生产能力),鉴证对象信息可能是有关鉴证对象物理特征的说明文件;当鉴证对象为某种系统和过程时(如企业的内部控制或信息技术系统),鉴证对象信息可能是关于其有效性的认定;当鉴证对象为一种行为时(如遵守法律法规的情况),鉴证对象信息可能是对法律法规遵守情况或执行效果的声明。不难看出,传统的财务报表审计只是鉴证业务中的一种。鉴证标准随着鉴证对象的不同,也从财务报表审计中按照适用的财务报表编制框架,如编制财务报表所使用的会计准则和相关会计制度,扩展到单位内部制定的行为准则、绩效水平等方面。从其定义看,鉴证业务的目的在于增强除责任方之外的预期使用者对鉴证对象信息的信任程度。真实公允目标是针对财务报表审计的审计目标,可信性目标在概念外延上具有更加广泛的适用性。可信性目标不仅适用于对财务信息的可信性,而且还适用于非财务信息(绩效信息)的可信性。对财务报表来说,如果它是真实公允的,即在所有重大方面是按照适用的财务报表框架编制的,它就是可信性;对于其他鉴证信息来说,如果它是符合适用的鉴证标准,就是可信性的。企业内部的信息系统,现在已不仅仅是财务信息系统,还包括各种业务和管理信息系统。与此同时,为满足企业的业务需求,信息系统所提供的信息也不局限于财务信息,而且还包括许多非财务信息。所以,在国有企业信息系统审计中,把可信性作为国有企业信息系统审计的目标比真实性目标更加符合企业信息化发展的客观要求。

(四)可信性目标反映了审计理论的深化和发展

可信性不是一个孤立的术语,它是新审计理论(或一组新的相互联系的审计概念)中的一个关键性概念。随着注册会计师的业务从传统的财务报表审计发展到鉴证业务,传统的审计理论也得到了深化和发展。大家知道,审计三方关系是指审计人、被审计人、审计授权或委托人之间的关系。传统的受托责任论,即审计动因论,是建立在传统的审计三方关系之上的。然而,在我国现行的《注册会计师鉴证业务基本准则》中给出了一种新的审计三方关系,即注册会计师、责任方和预期使用者。在新的审计三方关系中,被审计人与审计授权或委托人之间责任关系的含义更加丰富,除传统的受托责任关系外还有其他种类不带委托性质的责任关系③。在新的审计三方关系中,预期使用者应包括企业所有的利益相关者,除了传统受托责任关系中的股东外,还应包括经营者、员工、顾客、供应商、债权人、潜在的投资者、监管层、竞争者等。聘请注册会计师的通常是预期使用者或其代表,但也可能是责任方。责任方、预期使用者和注册会计师三方之间的关系,可以看作是信息提供者、信息使用者和信息可信性的保证者之间的关系④。增强信息的可信性,实际上是减少了信息提供者与预期使用者之间的信息不对称,鉴于预期使用者的广泛性,在市场经济条件下,将有利于完善市场机制,提高市场资源配置效率,从而拓展了审计的社会功能。可信性不是一个空洞的概念,鉴证对象信息是否具有可信性,需要执行一定的业务程序。审计师在收集证据的基础上,依据一定的标准,检查责任方的鉴证对象信息在所有重大方面是否符合适当的标准后,才能为鉴证对象信息的可信性提供一定程度的保证,从而提供给预期使用者。鉴证业务的保证程度被细分为合理保证和有限保证,鉴证对象信息被划分为财务信息和非财务信息,其中财务信息被进一步细分为历史财务信息和预测性财务信息。可信性概念是这些新审计理论中的关键性概念之一,相比之下,真实性概念在新的审计理论中却没有相应的理论地位。

(五)可信性目标反映了国家审计的发展趋势

在世界审计组织(INTOSAI)的道德准则(Code of Ethics)中,强调了信赖(trust)、信任(confidence)、信誉(credibility)对于审计机关的至关重要性。在南非审计署1911至2011年百年纪念的纪念品和网站首页上有一句格言:“Auditing to build public confidence”,即“审计旨在建立公共信任”。我国审计署2011年7月15日印发的《审计署关于深化经济责任审计工作的指导意见》中提出,要确保经济责任审计结果的可信、可靠和可用。刘家义审计长提出,国家审计是国家治理的一个组成部分。孔子曰:“足食,足兵,民信之矣”,“民无信不立”,说明了信任、守信在国家治理中的重要性。我们知道,“诚信友爱”是构建社会主义和谐社会的基本要求之一。国家审计可以增强政府的公信力,增强整个社会的诚信。从国家治理的角度看,可信性目标比真实性目标更好地体现了国家审计在国家治理中的作用。

经过上述真实性和可信性两种审计目标含义的对比,不难发现,虽然真实性目标是国有企业审计的传统目标之一,但是可信性比真实性的涵义更为丰富,可信性目标中不但包含了真实性目标,而且可信性目标要求信息系统提供更高质量的信息。两种目标都对信息系统提供的信息质量提出了要求,国家审计对信息质量的要求不应低于注册会计师审计。因此,笔者认为,尽管现行的审计法规定了国有企业信息系统审计的真实性目标,但是,从理论上讲以及从未来发展趋势看,审计机关应当选择可信性作为国有企业信息系统审计的目标,即国有企业信息系统审计应当促进企业信息系统提供可信的信息。

二、促进国有企业信息系统的遵循性

最高审计机关国际组织(INTOSAI)在审计基本原则(ISSAI-100)中,把政府审计业务分为两大类,即合规审计(regularity audit)和绩效审计(performance audit),并制定了相应的审计执行指南,即财务审计执行指南(Implementation Guidelines on Financial Audit)、遵循审计执行指南(implementation guidelines on compliance audit)和绩效审计执行指南(Implementation Guidelines on Performance Audit)。在这个准则指南框架中,合规性审计包括了财务审计和遵循性审计。遵循性审计是指对公共部门实体的活动是否与相关法律法规及授权要求相一致的审计。在《国际审计准则第250号――财务报表审计中对法律法规的考虑》(ISA250)中,非遵循(non-compliance),是指被审计单位不履行法律法规责任或者违反法律法规的犯罪,故意地或者非故意地,与执行的法律或法规对立的行为。在COSO内部控制框架中,遵循性(compliance)作为内部控制的目标之一,是指符合适用的法律法规。由此看来,在上述准则指南中,遵循性,就是我国国家审计中的合法性。但是,在本文中,作为国有企业信息系统审计的目标之一,遵循性与合法性不同。

为满足业务需求,对信息系统提供的信息有一般性的要求,在IT治理框架COBIT4.1中,这些要求也被称之为信息标准(information criteria)。遵循性(compliance)作为其中的标准之一,是指“涉及业务流程与所需遵守的法律、法规及合同约定之间的符合程度的属性,即外部的强制要求和内部政策的遵循性。”⑤在本文中,遵循性作为国有企业信息系统审计的目标之一,采用COBIT4.1中遵循性的概念,即国有企业信息系统的设计、建设、运行和监控不仅要符合来自企业外部的强制性要求(合法性),而且还应符合国有企业内部制定的各种规定的要求。

我国审计机关对国有企业的财务收支的真实、合法和效益,依法进行审计监督。合法性是国有企业审计的审计目标之一。作为国有企业审计的重要内容,信息系统审计应当促进国有企业信息系统的合法性。那么,为什么我们要把国有企业内部制定的各种规定同时也纳入国有企业信息系统审计的目标呢?企业内部如何制定关于其信息系统的规定是企业自己的事情,似乎审计机关不应干预,但是,效益性也是国有企业审计的审计目标之一。当信息系统不符合国有企业某些内部规定的要求时就会影响到企业效益,这些内部规定,如内部控制、管理和治理等,也应纳入国有企业信息系统审计的遵循性目标范围。

三、改善国有企业信息系统的绩效性

绩效性目标是企业信息化不断发展的产物。我国企业信息化建设已经发展到了关注绩效性的阶段。绩效性目标也是IT管理和IT治理的重要内容。IT管理和IT治理的国际标准或良好实务,为开展信息系统绩效审计提供了审计标准。

(一)企业信息系统绩效性的概念

当企业信息化发展水平达到一定程度后,信息系统的绩效问题逐渐引起了人们的关注。在企业信息化的早期阶段,信息系统主要应用于企业的财务会计领域,这时人们对信息系统关注的焦点主要是信息系统的可信性和遵循性问题,相应的措施主要集中在内部控制方面,强调信息系统的一般控制和应用控制。随着企业信息化水平的不断提高,信息系统在企业中的应用范围逐渐从财务会计领域扩展到整个业务领域和管理领域,与此同时,信息系统的建设投入和运行成本显著提高。这时人们发现,大量的信息化投入并不一定能够带来预期的收益,而且还带来巨大的潜在风险,个别企业甚至因高投入造成利润下降或财务危机,有的企业因业务流程改造滞后,还会导致管理混乱。在这种情况下,人们对信息系统关注的焦点,逐渐从“投入”转向“产出”,从技术和内部控制问题转向管理和治理问题,在企业内部出现了专门的IT管理部门,IT管理和IT治理逐渐从企业的一般管理和治理中独立出来,而“绩效”是描述信息系统投入产出、管理和治理的核心概念。

信息系统的绩效性是指利用IT资源提供企业信息服务的经济性、效率性和效果性。为它的利益相关者提供价值是企业存在的基本前提。企业信息系统的目的在于利用IT资源,通过IT流程,提供企业信息服务,以满足业务需求。信息系统要实现的绩效目标必须与企业的业务需求或业务目标相一致。

(二)绩效性目标的可行性

从我国企业信息化发展阶段看,目前信息系统的绩效问题已经成为关注的焦点。2011年2月,工信部电子一所和用友软件股份有限公司联合了《2010年中国企业信息化指数调研报告》。该报告将中国企业的信息技术应用分为四个阶段,分别为基础应用阶段、关键应用阶段、扩展整合及优化升级应用阶段以及战略应用阶段,如图1所示。

该报告认为,目前我国企业信息化总体上处于由基础应用和关键应用向扩展整合与优化升级过渡阶段。报告的主要结论之一是,2010年“信息技术应用范围的变化主要体现在应用广度和深度两方面,企业基本完成了信息技术在各业务领域的应用覆盖,已逐渐开始深度关注企业业务发展需求,着力提升信息技术的应用价值。”提高信息系统的绩效,也已经成为我国企业信息化深度发展的方向。把绩效性作为国有企业信息系统审计的目标,符合我国企业信息化发展的现状,在现实中具有可行性。

(三)绩效性是IT管理和IT治理的重要内容

IT管理目的在于如何降低成本,以更好的弹性及更快的响应速度,向组织内外部顾客提供高质量的IT服务,提供顾客的满意度。IT管理的目标就是要追求信息系统的绩效性,即经济性、效率性和效果性。

信息系统的绩效性也是IT治理追求的目标之一。在IT治理国际标准ISO/IEC38500(组织的信息技术治理)中规定了“绩效”原则,即IT应适合于支持组织的目的并提供服务,服务等级和服务质量应满足当前和将来的业务要求。IT治理框架COBIT4.1有四个基本特征:以业务为中心、以流程为导向、以控制为基础、以绩效测评为驱动。在该框架中,绩效测评是IT治理的关键,并且指出,“多项调研已经表明,IT成本、价值和风险管理缺乏透明是驱动IT治理最重要的一个因素。相对于其他关注的领域,提高透明度主要通过绩效测评来实现。”⑥

(四)绩效审计的参照标准

IT管理和IT治理从企业管理和治理中独立出来,为开展单独立项的信息系统绩效审计创造了条件。就像企业审计要关注被审计单位的管理和治理那样,企业信息系统审计要关注被审计单位的IT管理和IT治理情况。IT管理和IT治理的国际标准或良好实务,则为开展信息系统绩效审计提供了审计标准,也可以作为向被审计单位提出改进建议的参照标准。常见的IT管理和IT治理国际标准有:ISO/1EC20000(信息技术――服务管理)、ITIL(信息技术基础库)、ISO/IEC38500(组织的信息技术治理)、COBIT4.1(信息及其相关技术控制目标)等。

四、维护国有企业信息系统的安全性

维护国有企业信息系统的安全,对于维护国家经济安全至关重要。随着信息技术的发展和应用,人们对信息系统安全性的认识也不断深化。正确理解信息安全的涵义,对于开展信息系统安全性审计具有重要的意义。

(一)安全性目标的重要性

根据1994年我国颁布的《中华人民共和国计算机信息系统安全保护条例》,维护计算机信息系统的安全性,就是要保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行⑦。从这里可以看出,信息系统的安全包括:信息本身的安全、系统设施设备的安全和系统运行环境的安全三个层面。就三个层面的关系而言,信息是核心,系统设施设备及其运行环境是保障,信息本身的安全是目的,系统设施设备的安全及其运行环境的安全是手段。

国有企业信息系统安全是国家信息安全和经济安全的重要组成部分。为了保护中央企业信息系统的安全稳定运行,2010年12月,公安部和国务院国有资产监督管理委员会联合颁布了《关于进一步推进中央企业信息安全等级保护工作的通知》。据统计,截至2010年5月,已有89.6%的中央企业开展了信息安全等级保护工作,中央企业总计建成投入使用的信息系统有16 092个,已定级14 539个,占比90.3%;应向公安机关备案的系统(二级及以上)有11 370个,已备案8 113个,占应备案系统的71.4%;列入2010年定级计划的有1 598个。中央企业在公安机关备案的信息系统总数约占全国信息系统备案总数的21%,第三、四级重要系统约占全国重要信息系统备案总数的30%⑧。这些数据表明,国有企业信息系统已成为国家信息安全的重要组成部分。《中华人民共和国企业国有资产法》第七条规定,“国家采取措施,推动国有资本向关系国民经济命脉和国家安全的重要行业和关键领域集中,优化国有经济布局和结构,推进国有企业的改革和发展,提高国有经济的整体素质,增强国有经济的控制力、影响力。”由于国有企业集中在国民经济命脉和国家安全的重要行业和关键领域,如电信、电力、石油、石化等重要行业,其重要信息系统已成为国家关键基础设施,是国民经济命脉之命脉,保护国有企业信息系统的安全稳定运行,对于维护国家经济安全和社会稳定具有重要的意义。

(二)信息安全概念的演变

根据我国计算机信息系统安全保护条例中的定义,计算机信息系统的安全性,包括信息本身的安全、系统设施设备的安全和支撑环境的安全。其中,信息本身的安全,即信息安全,是信息系统安全的核心和目的。那么,究竟什么是信息安全呢?

人们对信息系统安全性的认识经历了一个不断深化的发展过程。20世纪80年代美国国防部制定的《可信计算机系统评估准则TCSEC》把保密性当作信息安全的重点。20世纪90年代初由英、法、德、荷四国制定的《信息技术安全评估准则ITSEC》开始把完整性、可用性与保密性作为同等重要的因素。自此,信息安全的概念,即信息的保密性、完整性和可用性,逐渐被普遍接受。在2002年的国际标准ISO/IEC17799:2000《信息技术――信息安全管理业务规范》中明确规定,信息安全,是指保护:“保密性(confidentiality),即确保信息只能够由获得授权的人访问;完整性(integrity),即保护信息的正确性和完整性以及信息处理方法;可用性(availability),即保证经授权的用户可以访问到信息,如果需要的话,还能够访问相关资产。”然而,在2005年的该国际标准修订版即ISO/IEC17799:2005中,信息安全的定义,包括了七种安全特性:信息的保密性(confidentiality)、完整性(integrity)、可用性(availability)及其他属性,如真实性(authenticity)、责任性(accountability)、不可抵赖性(non-repudiation)、可靠性(reliability)等,而且,这种修订后的信息安全定义,被2007年的国际标准ISO/IEC27001(《信息安全管理体系――规范与使用指南》)引用。在学术界,有人认为,信息安全的特性还应进一步包括可控性(controllability)、可预测性(predictability)、可审计性(auditability)、遵循性(compliance)等。

随着信息技术的发展与应用,信息安全的内涵越来越丰富,从最初的信息保密性发展到保密性、完整性和可用性,进而又发展到相关的真实性、责任性、抗抵赖性、可靠性等。相应地,对企业信息安全的考虑,也从最初关注企业信息安全技术层面,发展到关注企业信息安全控制、管理和治理等层面。

(三)正确理解信息安全涵义需要注意的几个问题

1.信息安全与信息保密不同。从信息安全概念的涵义可以看出,信息保密与信息安全是两个不同的概念,信息安全比信息保密的涵义更加丰富。尽管我国新修订的保密法对信息系统的保密问题作出了规定,但是保密法不能代替信息安全法。目前,我国对信息安全的立法仍然比较滞后,尚无专门的信息安全法。信息安全法是国家信息安全保障体系不可或缺的组成部分。

2.微观信息安全与宏观信息安全的联系。企业信息系统的安全离不开系统运行环境的支撑,系统环境包括物理环境和社会环境。从社会环境看,主要是指有关信息安全法律法规、安全意识、人才培养等。这就是说,微观层面单个组织的信息系统安全,还离不开宏观层面国家信息安全保障体系的构建。与此同时,微观层面的信息安全是基础,没有微观层面的信息安全,也就没有宏观层面的信息安全。

3.授权管理的重要性。信息安全的概念有三个核心涵义:保密性、完整性和可用性。这三个核心涵义都涉及一个共同的要素,即“授权”。保密性意味着只有获得授权才能访问;完整性意味着没有授权不得对信息进行删除或修改;可用性意味着拥有授权者随时可以使用。这表明,授权管理是信息安全管理的一项关键内容。信息系统是一种人机系统,授权管理主要涉及对人员行为的安全管理。

4.安全性目标与遵循性、绩效性、可信性目标的联系。从信息安全的涵义可以看出,信息系统的安全性目标不同于其遵循性、绩效性和可信性目标,但是,安全性与它们之间又是相互联系的。首先,安全性必须满足遵循性的要求,信息系统的设计、运行、使用和管理可能要置于法律规定的和合同约定的安全要求的约束之下,特别是各种信息安全法律法规、保密法,以及知识产权、个人隐私权方面的法律法规;其次,信息安全没有绝对的安全,所有的信息安全都是风险可接受条件下的安全,高水平的安全保护需要大量的投入成本,因而需要在成本、收益、风险和安全之间进行权衡,即安全性与绩效性的联系;最后,在信息安全技术层面,可信计算技术是信息安全技术的一个重要研究领域,从而表明安全性与可信性之间也有内在的联系。

笔者认为,目前国际上制定的有关信息安全等级评估、信息安全风险评估、信息安全管理体系等方面的国际标准,无论是在理论概念还是在操作实务方面,对于我国审计机关开展信息系统审计都具有重要的借鉴价值。这些国际标准或良好实务可以作为审计的参照标准,同时也可以作为审计机关向被审计单位提出改进信息系统安全性建议的依据。同时,在对国有企业信息系统的安全性进行审计时,还要立足我国实际,由于我国国有企业信息系统是国民经济命脉之命脉,事关国家经济安全和社会稳定,在重视企业本身信息系统安全的同时,还应当从宏观上揭示国有企业信息系统的安全风险,维护国家经济安全。

最后应当指出的是,在审计实践中,根据具体情况,单个审计项目可以选取上述可信性、绩效性和安全性目标中的一个或多个作为审计目标。

第8篇:国家信息安全的重要性范文

摘要]随着我国中小企业的信息化不断应用,管理信息系统的运行使中小企业的各方面效率得到很好的提升,但是在实际的运行中却由于企业中存在的管理制度松散、员工的意识缺乏等制度方面的原因,使企业信息系统得不到适当的维护,对企业的信息数据安全、信息获取效率都有一定的影响,所以加强中小企业信息管理制度层次的设计是有必要的。

一、问题的提出及文献综述

随着我国中小企业开始实现信息化管理,运用信息管理系统来对企业生产进行管理,一方面,提高了企业管理的效率和科学性,使企业的生产、存储、财务、成本、控制都得到了大幅度的改善;而另一方面,在实际的运行中不可避免的引发各种问题,其中包括信息安全性的问题,即存储在计算机或在传输中的文件和数据遭受到破坏和滥用,而且这种活动对企业的影响非常严重,例如:电子商务公司,如果网站出现故障,每天的损失会高达数额人民币,所以如何保障信息系统的安全,使其得到安全的控制,对于企业来说已经变的非常重要。目前,在我国的中小企业信息管理系统内部构建中,经常可以发现由于制度和管理中的疏忽、松懈以及信息系统的监管不到位,所出现数据的丢失或者数据的信息反应迟钝,不能使管理者及时得到有效的信息,使其信息系统的发挥起不到其最佳的效果,因此如何保障中小企业信息系统安全,加强中小企业信息的测控是非常必要的。

在目前关于中小企业的信息系统安全与效率方面的文章主要是集中在如何构建中小企业信息系统方面,涉及到中小企业信息管理制度这方面很少。如:杨斌、费同林(2002),赵宏中(2005),刘仁勇,王卫平(2007),在企业管理信息系统建设方面提到了制度设计方面,但是没有把其作为一个研究重点,其他一些相似的文献基本是从技术角度探讨。从中小企业实际的成本收益考虑,一般来说,由于运用的相应技术不是很高,基本都是基础的软件系统,所以有必要对中小企业面临的制度方面进行详细的分析。

二、中小型企业信息系统制度方面分析

首先,根据Laudon对企业信息系统面临威胁,按照来源分为六类:硬件故障、软件故障、人为因素、数据、服务及设备被偷盗,这些都是中小企业面临的问题,但Laudon从单个信息系统的角度进行分析,却没有把企业的信息管理系统管理制度考虑进去,在我国中小企业的信息系统建设上许多企业尽管设置了制度,但很大程度上都是形同虚设或者是制度管理存在缺失,容易导致中小企业信息系统实际操作上面临效率和安全的问题,下面具体从制度方面进行分析:

在中小型企业中,存在着正式制度与非正式制度,正式制度是人们有意识建立起来的并以正式方式加以确定的各种制度安排,主要包括法律制度、企业制度安排等;非正式制度,是人们在长期的社会生活中逐步形成的习惯习俗、文化传统、价值观念,是形态等对人们行为产生非正式约束的规则,是那些对人们行为的不成文的限制。

(一)正式制度的分析

在中小企业中,正式的制度包括国家信息系统法律的规定和企业的信息管理制度方面,根据我国1994年通过的《中华人民共和国计算机信息系统安全保护条例》,也只是从信息交换角度来保护整个信息系统的安全,对于企业自身的信息系统安全只是规定各企业根据自身情况自行制定,并没有对企业的实际业务中发生的关于信息系统自身安全进行风险标准规定,也没有一套正确引导进行风险防范的标准规定,所以中小企业的法规建立基本都是从企业各自实际出发,所以各企业的标准不一,导致安全隐患存在比较大。

从企业自己建立的信息管理制度来说,一般大型企业有明确的规定制度,包括维护、人员素质等方面都有明确的规定,在一定程度上能有效防范信息系统存在的安全隐患,并能够及时有效的进行相应信息的反馈,对企业的信息安全与企业效率能起到积极的作用。但对于中小企业来说,由于企业自身比较小,相应的信息管理系统人员比较缺乏,其维护也是谁操作谁负责,这样只能根据各企业自身人员的情况来确定其系统的安全程度,其次在效率方面,由于人员缺乏以及其计算机操作应用存在的不规范,信息交换、反馈也相对比较落后,或者根本起不到效率作用。

再次中小企业虽然有一定的信息管理制度规范,却由于监管不到位,主要是由于中小企业的机构比较小,维护人员、计算机使用都是由使用人员一人来完成,所以容易导致即使有制度,也难以执行,这也是制约中小企业信息系统的数据安全的主要原因。

(二)非正式制度的分析

在非正式制度中,意识形态处于核心地位,它不仅蕴含价值关键、伦理规范、道德观念和风俗习性,而且在形式上构成某种非正式制度的“先验”模式。所以从这个角度上来说,公司员工的思想和过去的传统操作方法在一定程度上影响企业的信息管理系统运行效果。

在中小企业的管理信息系统中,由于员工的意识不强,对于信息系统的维护、使用存在一定的松懈,信息操作员经常在值班时没有定期维护计算机及信息管理系统,只是在当其产生问题时才处理,这样很容易导致企业数据损失,如果信息备份不完全的话,可能由于人为操作或者计算机病毒的侵入会造成整个系统数据损失。

在这里非正式制度方面主要是指员工以往的旧做法对中小企业的信息系统安全的影响,对信息反馈报告在效率方面也会产生一定的负面作用,主要原因是领导层的要求不严格,操作人员的报告提交不及时等因素所致,因此非正式制度因素对中小企业信息管理系统影响也是非常大的。

三、加强信息管理系统管理制度建设的对策

在加强制度建设中,主要从国家信息系统的法律制度建设、企业信息制度的设置与执行,再次就是信息系统中操作人员与管理人员意识的改变三个层次来考虑。

(一)首先在我国信息管理系统的法律规范中,不仅应该对信息交换中安全问题进行规范,而且规定信息系统使用公司对其管理系统的安全达到安全的最低标准,这个标准是指从各因素方面来确定信息管理系统的一个安全性的最低标准值,不仅能够使信息安全从法律依据上得到一个基本的系统安全标准,而且也能对公司信息管理系统起到强制规范性的作用。

(二)在制度设定层面,加强中小企业信息系统安全管理制度的健全及制度化,也是保障中小企业信息系统安全极为重要的一个方面。在信息系统运行过程中,信息系统管理部门应制定严格的服务器日常维护、巡视和记录制度、客户机维护、操作制度、用户管理制度、人员培训制度等等,并严格按照制度实施奖惩,从而从企业内部制度上认识到信息管理系统安全的重要性。

(三)培养与使用企业信息化是一项复杂的系统工程,除了领导层要高度重视外,设立一个既懂信息系统、又懂业务流程的复合型信息主管职位,也是非常关键的。在国外大学、大企业的CIO(首席信息主管),相当于企业级的领导,直接参与企业的重大问题决策。一个合格CIO,既能充分调动网络技术人员的积极性,又能把握企业信息化发展全局,并能随时为领导提供参考意见,起到了很好的监督作用,并对公司信息管理信息系统制度改善、监督、反馈上能起到重要的作用,因此在中小企业中也设立这样一个职位,从而使信息化系统成为企业运行中的一个非常重要的部分。

(四)加强信息系统人员的培训,使其对计算机信息系统的操作、安全等方面了解能够熟练的掌握。信息系统人员包括操作人员以及维护人员,定期对信息系统人员进行培训,不仅有助于了解信息系统的最新发展,而且能够使其从意识中不断了解到信息系统安全的重要性,使其操作、维护的规范化不断得到改善,从而减少由于非制度性因素所产生的信息系统安全问题。

四、结论

在中小企业信息管理系统中,很大问题是由于中小企业的制度方面造成的,所以在企业内部加强其监管,使中小企业的信息管理制度得到很好执行是非常必要的,其次就是加强员工的素质培养,使其能够具有很好的业务水平,使信息管理系统得到很好的运行,并能够使管理层及时了解到企业的信息,保证企业的顺利运行;最后完善国家信息管理系统法律,是保证企业信息制度建立的重要标准,使中小企业达到基本的信息系统风险管理水平,从而从制度上使其信息管理系统得到很好的保护。

参考文献

[1]KennethC.LaudonJaneP.Laudon.管理信息系统-管理数字化公司(第8版)[M]北京:清华大学出版社,2005年:501-538

[2]王霞,张永,彭智才,如何保障中小企业信息系统安全[J],资源方法,2004(9):54-55

[3]刘仁勇,王卫平,企业信息安全管理研究[J].学术研究,2007(6):113-115

第9篇:国家信息安全的重要性范文

摘要]随着我国中小企业的信息化不断应用,管理信息系统的运行使中小企业的各方面效率得到很好的提升,但是在实际的运行中却由于企业中存在的管理制度松散、员工的意识缺乏等制度方面的原因,使企业信息系统得不到适当的维护,对企业的信息数据安全、信息获取效率都有一定的影响,所以加强中小企业信息管理制度层次的设计是有必要的。

一、问题的提出及文献综述

随着我国中小企业开始实现信息化管理,运用信息管理系统来对企业生产进行管理,一方面,提高了企业管理的效率和科学性,使企业的生产、存储、财务、成本、控制都得到了大幅度的改善;而另一方面,在实际的运行中不可避免的引发各种问题,其中包括信息安全性的问题,即存储在计算机或在传输中的文件和数据遭受到破坏和滥用,而且这种活动对企业的影响非常严重,例如:电子商务公司,如果网站出现故障,每天的损失会高达数额人民币,所以如何保障信息系统的安全,使其得到安全的控制,对于企业来说已经变的非常重要。目前,在我国的中小企业信息管理系统内部构建中,经常可以发现由于制度和管理中的疏忽、松懈以及信息系统的监管不到位,所出现数据的丢失或者数据的信息反应迟钝,不能使管理者及时得到有效的信息,使其信息系统的发挥起不到其最佳的效果,因此如何保障中小企业信息系统安全,加强中小企业信息的测控是非常必要的。

在目前关于中小企业的信息系统安全与效率方面的文章主要是集中在如何构建中小企业信息系统方面,涉及到中小企业信息管理制度这方面很少。如:杨斌、费同林(2002),赵宏中(2005),刘仁勇,王卫平(2007),在企业管理信息系统建设方面提到了制度设计方面,但是没有把其作为一个研究重点,其他一些相似的文献基本是从技术角度探讨。从中小企业实际的成本收益考虑,一般来说,由于运用的相应技术不是很高,基本都是基础的软件系统,所以有必要对中小企业面临的制度方面进行详细的分析。

二、中小型企业信息系统制度方面分析

首先,根据Laudon对企业信息系统面临威胁,按照来源分为六类:硬件故障、软件故障、人为因素、数据、服务及设备被偷盗,这些都是中小企业面临的问题,但Laudon从单个信息系统的角度进行分析,却没有把企业的信息管理系统管理制度考虑进去,在我国中小企业的信息系统建设上许多企业尽管设置了制度,但很大程度上都是形同虚设或者是制度管理存在缺失,容易导致中小企业信息系统实际操作上面临效率和安全的问题,下面具体从制度方面进行分析:

在中小型企业中,存在着正式制度与非正式制度,正式制度是人们有意识建立起来的并以正式方式加以确定的各种制度安排,主要包括法律制度、企业制度安排等;非正式制度,是人们在长期的社会生活中逐步形成的习惯习俗、文化传统、价值观念,是形态等对人们行为产生非正式约束的规则,是那些对人们行为的不成文的限制。

(一)正式制度的分析

在中小企业中,正式的制度包括国家信息系统法律的规定和企业的信息管理制度方面,根据我国1994年通过的《中华人民共和国计算机信息系统安全保护条例》,也只是从信息交换角度来保护整个信息系统的安全,对于企业自身的信息系统安全只是规定各企业根据自身情况自行制定,并没有对企业的实际业务中发生的关于信息系统自身安全进行风险标准规定,也没有一套正确引导进行风险防范的标准规定,所以中小企业的法规建立基本都是从企业各自实际出发,所以各企业的标准不一,导致安全隐患存在比较大。

从企业自己建立的信息管理制度来说,一般大型企业有明确的规定制度,包括维护、人员素质等方面都有明确的规定,在一定程度上能有效防范信息系统存在的安全隐患,并能够及时有效的进行相应信息的反馈,对企业的信息安全与企业效率能起到积极的作用。但对于中小企业来说,由于企业自身比较小,相应的信息管理系统人员比较缺乏,其维护也是谁操作谁负责,这样只能根据各企业自身人员的情况来确定其系统的安全程度,其次在效率方面,由于人员缺乏以及其计算机操作应用存在的不规范,信息交换、反馈也相对比较落后,或者根本起不到效率作用。

再次中小企业虽然有一定的信息管理制度规范,却由于监管不到位,主要是由于中小企业的机构比较小,维护人员、计算机使用都是由使用人员一人来完成,所以容易导致即使有制度,也难以执行,这也是制约中小企业信息系统的数据安全的主要原因。

(二)非正式制度的分析

在非正式制度中,意识形态处于核心地位,它不仅蕴含价值关键、伦理规范、道德观念和风俗习性,而且在形式上构成某种非正式制度的“先验”模式。所以从这个角度上来说,公司员工的思想和过去的传统操作方法在一定程度上影响企业的信息管理系统运行效果。

在中小企业的管理信息系统中,由于员工的意识不强,对于信息系统的维护、使用存在一定的松懈,信息操作员经常在值班时没有定期维护计算机及信息管理系统,只是在当其产生问题时才处理,这样很容易导致企业数据损失,如果信息备份不完全的话,可能由于人为操作或者计算机病毒的侵入会造成整个系统数据损失。

在这里非正式制度方面主要是指员工以往的旧做法对中小企业的信息系统安全的影响,对信息反馈报告在效率方面也会产生一定的负面作用,主要原因是领导层的要求不严格,操作人员的报告提交不及时等因素所致,因此非正式制度因素对中小企业信息管理系统影响也是非常大的。

三、加强信息管理系统管理制度建设的对策

在加强制度建设中,主要从国家信息系统的法律制度建设、企业信息制度的设置与执行,再次就是信息系统中操作人员与管理人员意识的改变三个层次来考虑。

(一)首先在我国信息管理系统的法律规范中,不仅应该对信息交换中安全问题进行规范,而且规定信息系统使用公司对其管理系统的安全达到安全的最低标准,这个标准是指从各因素方面来确定信息管理系统的一个安全性的最低标准值,不仅能够使信息安全从法律依据上得到一个基本的系统安全标准,而且也能对公司信息管理系统起到强制规范性的作用。

(二)在制度设定层面,加强中小企业信息系统安全管理制度的健全及制度化,也是保障中小企业信息系统安全极为重要的一个方面。在信息系统运行过程中,信息系统管理部门应制定严格的服务器日常维护、巡视和记录制度、客户机维护、操作制度、用户管理制度、人员培训制度等等,并严格按照制度实施奖惩,从而从企业内部制度上认识到信息管理系统安全的重要性。

(三)培养与使用企业信息化是一项复杂的系统工程,除了领导层要高度重视外,设立一个既懂信息系统、又懂业务流程的复合型信息主管职位,也是非常关键的。在国外大学、大企业的CIO(首席信息主管),相当于企业级的领导,直接参与企业的重大问题决策。一个合格CIO,既能充分调动网络技术人员的积极性,又能把握企业信息化发展全局,并能随时为领导提供参考意见,起到了很好的监督作用,并对公司信息管理信息系统制度改善、监督、反馈上能起到重要的作用,因此在中小企业中也设立这样一个职位,从而使信息化系统成为企业运行中的一个非常重要的部分。

(四)加强信息系统人员的培训,使其对计算机信息系统的操作、安全等方面了解能够熟练的掌握。信息系统人员包括操作人员以及维护人员,定期对信息系统人员进行培训,不仅有助于了解信息系统的最新发展,而且能够使其从意识中不断了解到信息系统安全的重要性,使其操作、维护的规范化不断得到改善,从而减少由于非制度性因素所产生的信息系统安全问题。

四、结论

在中小企业信息管理系统中,很大问题是由于中小企业的制度方面造成的,所以在企业内部加强其监管,使中小企业的信息管理制度得到很好执行是非常必要的,其次就是加强员工的素质培养,使其能够具有很好的业务水平,使信息管理系统得到很好的运行,并能够使管理层及时了解到企业的信息,保证企业的顺利运行;最后完善国家信息管理系统法律,是保证企业信息制度建立的重要标准,使中小企业达到基本的信息系统风险管理水平,从而从制度上使其信息管理系统得到很好的保护。

参考文献

[1]KennethC.LaudonJaneP.Laudon.管理信息系统-管理数字化公司(第8版)[M]北京:清华大学出版社,2005年:501-538

[2]王霞,张永,彭智才,如何保障中小企业信息系统安全[J],资源方法,2004(9):54-55

[3]刘仁勇,王卫平,企业信息安全管理研究[J].学术研究,2007(6):113-115

相关文章阅读
相关期刊推荐
精选范文推荐