张玮 山东省滨州市烟草专卖局

科学技术的不断进步，促进了信息化产业的不断发展。网络信息安全系统被有效的应用在当前一体化的商业领域和政府的政务服务工作中，得到了认可和重视。但随着大多数企业或个人对于网络信息系统依赖性的不断提高，以及网络信息系统中存在的一定网络信息安全问题，成为现阶段诸多企业急需解决的管理问题。

尤其是近段时间网络上经常报道的信息泄露问题（例如，信用卡账户信息的泄露、购房者信息、移动通讯人员使用信息以及新生儿出生信息的泄露等），牵扯内容比较广泛，涉及的人员和企业也比较多，信息泄露的途径也是多种多样，引起了社会的高度关注与讨论，加强对企业网络信息安全管理体系的规划与建设已是未来网络信息管理体系可持续发展的重要问题。

一、企业网络信息安全管理体系的现状及成因分析

随着企业现代化、信息化的不断发展，企业信息化水平得到了不断的提升，企业的正常运营越来越依赖于信息化的管理系统。因此，企业为了进一步保障网络信息管理系统能够安全、稳定的工作，大部分企业都设置了防火墙、病毒入侵检测系统、病毒预测系统以及网络安全管理等软硬件安全管理设备，希望借助高科技技术手段对黑客的不法入侵以及病毒对信息系统的干扰起到一定的阻挡作用。但现实却给了我们一个“响亮的耳光”，现有的网络信息安全管理系统仍存在一定的危险因素，企业信息管理系统遭到病毒感染、黑客攻击导致信息泄露、网络攻击等安全事件时有发生。根据我国计算机病毒疫情调查分析报告数据统计，每年都会有一部分网络信息系统用户遭受一些网络病毒的攻击导致系统瘫痪，无法正常使用，并出现逐渐递增的趋势，给各个领域的企业造成了严重的经济损失。出现这种情况的主要原因是：

第一，网络信息安全系统在构建的过程中缺乏总体的规划与策略分析。以往网络信息安全系统的构建企业管理者都是遵循“木桶理论”的原理，认为运用各种技术只要将信息系统围个水泄不通，信息安全就得到了保障，但事实证明这是行不通的。

第二，信息安全意识薄弱，信息安全人员数量不足。大部分企业管理人员认为信息安全是公司技术部的问题，只要建立了防火墙，安装了杀毒软件，信息系统记得到了保障，在职员工安全信息管理意识较低。其次，人员配备不足，大多数的系统管理人员既要维护好信息的安全管理、设置、审计等工作，又要负责信息系统的配置，专业技术能力不到位也是影响信息系统安全的重要因素。

第三，信息安全管理系统缺少科学性与规范性。目前还有许多企业延用传统的信息管理模式，对信息安全管理规划缺乏系统的科学性与规范性，只是单一的进行修补，很容易出现漏洞，导致信息安全问题发生。

二、企业网络信息安全管理体系的规划与建立具体实施方案

（一）具体的实施方案

一是调研阶段，通过对企业相关人员的问题提问、文档查阅等，对部分企业内部组织体系架构、业务和网络体系以及信息安全管理情况进行深入的了解，参照信息系统等级保护相关检测标准对其进行安全数据分析，对找出的差距和问题进行整合，为企业今后网络信息安全管理系统的建立提供可靠的数据参考。

二是策划阶段，根据对目前企业信息体系现状及问题的分析，结合上述整合出来的差距分析结果，对企业网络信息安全管理体制建设方案进行重新的编制，并听取内外部专家的评审建议，敲定最终的建设方案。

三是实施阶段，对企业组织、管控模式以及管理制度之间的结合方式进行有效的研究，并构建网络信息安全管理组织责任体系与工作机制；其次，对企业整体信息安全管理策略以及信息安全河西业务规范和标准进行深入的研究制定。

（二）建立安全的信息管理体系

首先，良好的网络信息安全管理系统的建立离不开企业相关管理人员的认可与支持，为信息安全管理体系的建立提供重要的资源保障。但是只有企业领导人员的支持，缺少相关业务部门的认可，信息安全管理体系还是无法正常的运作，所以，企业管理者必须明确好企业全体人员的工作责任，让他们充分意识到网络信息安全管理的重要性，并积极到参与到信息安全管理体系建设工作中去，从而推动网络信息管理体系建设的顺利进行。

其次，建设网络信息安全制度体系。通过对国内外信息安全管理体系标准要求、政策以及等级保护体系的参照，结合现阶段企业管理制度和管理现状，建立自上而下，逐层递进的信息安全管理制度体系，对信息安全制度进行有效的汇总统计。其涉及的管理领域可分为制度管理、人员管理、系统建设管理、组织管理以及系统运营维护管理等五大方面。具体的信息安全管理制度结构可分为信息安全管理办法，对信息安全管理范围、依据、目标、组织以及责任体系和整体安全管理进行编制；信息安全管理细则或章程，科学的规范安全管理活动和具体的操作流程。

三、结语

网络信息安全管理系统的建立不仅为每个企业提供了良好的信息网络环境，还为企业提供了重要的信息安全体系保障，最大程度的帮助企业降低了信息安全风险，提升了企业收益，同时为企业提供了大量的技术安全保障，对信息安全风险的出现起到了预防的作用，对企业现阶段的信息安全管理体系发展现状和出现的问题起到一定的改善作用。