文/王永春

随着社会的发展进步，石油企业作为国家能源企业，它的信息安全和保密管理直接影响着企业乃至国家安全和利益。文章分析了企业信息安全和保密管理工作中存在的问题，从五个方面提出了提升企业安全管理水平的策略。

随着互联网发展及大数据时代的到来，国家之间的竞争转变成文化、经济、科技、政治、军事及社会各领域等隐形的竞争。相关的信息已成为国家重要的战略资源，其安全关系到国家的发展与战略制定。而当今的窃密手段也呈现出高科技化、多样化、技术发展快、高隐蔽性、难以检测等特点。石油行业作为国家能源企业，肩负着国家能源战略安全的重任。保护好石油企业在国际中的核心竞争力，必须高度做好石油企业信息安全与保密工作，克服麻痹松懈情绪，坚决保守国家秘密和企业核心商业秘密。

企业信息安全与保密管理现状

当今社会信息技术快速发展，大数据、云计算、人工智能等广泛应用，信息存储电子化、传输网络化、介质多样化、载体数码化，隐于无形、复制方便、传递迅捷，由此带来的信息安全问题复杂多变。能源企业因自身机构比较庞大且分散，具有点多面广的特点，如果对信息安全和保密工作不引起足够的重视，对自身的核心商业秘密不严加保护，势必将给企业乃至国家带来难以估算的经济损失。

信息安全基础设施落后。信息安全基础设施是信息安全体系中用于支持信息安全应用和信息安全管理的基础平台，它的可靠性、可用性是实现企业信息安全、保密管理的有力保障。虽然石油企业已建有专业的信息安全基础平台，信息自动化程度较高，但随着信息技术的不断发展，一些信息安全设备已落后，势必出现技术漏洞，容易导致企业失密泄密事故发生。

信息安全管理体系不完善。信息安全属于新兴领域，企业在信息安全管理方面还处于摸索阶段，普遍存在以下问题。一是信息资产管理不明确。信息与人们的切身利益息息相关，并以不同的形式存在于人们的工作、生活中，如数据、软件、硬件、服务、文档、设备、人员、客户关系等，这些既包含有国家秘密，又包含有企业商业秘密或个人隐私等，大到影响国家利益，小到影响员工的切身利益。信息安全管理过程当中，由于对需要保密的信息资产不明确、界限模糊，公开与保密难以界定清楚。特别是当今社会要求企业信息公开化，如果企业需要保密的信息资产不确定、界定不明确、保密审核不严格，就会造成企业的信息泄漏。二是组织结构不健全，人员职权不明确。企业信息安全管理组织结构不健全，管理人员的职权及范围不明确、防范意识低。在实际工作中，经常会出现信息部门与保密管理部门相互推诿的现象，容易给窃密者可乘之机，造成失密泄密事件发生。三是信息安全宣传教育形式单一。加强信息安全的宣传和教育是提高安全意识和保密意识的有效手段。但在实际的宣传教育过程中，宣教形式较为单一，仅仅对法律法规及企业内部安全制度内容进行讲解或发放资料，难以激发员工的学习热情，教育效果不佳，达不到预期目的。四是缺少合理的管理制度。信息化迅猛发展的时代背景进一步拓展了各种外泄渠道，给企业内部信息的保护提出新的课题。智能手机、笔记本电脑等个人移动电子产品已成为人们日常工作生活不可或缺的工具，它们给人们的工作和生活带来便利的同时，也存在极大的安全隐患。为便于工作，个人的电子产品里储存有企业的各类信息、数据甚至是关乎企业生死存亡的敏感资料，而在企业里，对于这类个人电子产品的规范使用或接入无线网络等行为缺乏相应的管理制度，对企业来说，这犹如一颗隐形的定时炸弹，威胁着企业的信息安全。

信息安全和保密意识亟待加强。有的企业负责人和员工对信息安全重视程度不够，认为“说起来重要，做起来没必要”，没有从思想深处认识到作为企业不仅有密要保，而且对企业的相关负责人和员工来说，要保的密还不少，尤其是国有大型能源企业，更是如此。如果没有充分认识到保密就在身边，那违规行为和泄密隐患的存在就具有必然性，势必会对企业信息安全造成影响。

企业信息安全与保密管理策略

做好保密工作是保障企业信息安全的前提，保密工作管理水平的高低直接关系到企业信息安全程度的高低。信息安全管理和控制范围覆盖安全技术体系中涉及的各种安全管理机制、安全基础设施建设和设备管理，以及人员管理和教育等。要为企业提供有效的安全保护，就要引入国际信息安全ISO2700-1 标准，结合企业的实际情况和长期发展需要，采用循环上升管理模式PDCA（计划、执行、检查、处理），并从以下几方面对企业信息安全和保密管理进行长期、系统规划和完善。

建立完善的信息安全管理体系。单纯依靠提升基础设施平台从技术层面去解决安全问题，是无法有效地达到保障企业信息安全的目的。需建立完善的安全管理制度，结合安全基础设施，对整个安全系统进行全面管理、监控和维护。企业相关负责人应该根据企业的发展需求明确信息安全目标、技术标准，搭建合理的安全组织机构，完善管理制度，明确信息安全管理权限和职责，确定管理规范和步骤，加强资金投入，确保信息安全保障的正常运作。

完善企业信息安全和保密制度。随着信息技术的不断发展，信息保密工作也面临着严峻的挑战。企业要建立一套较为完善的信息安全和保密管理制度，如规范员工上网行为、企业内外网互联互接行为、办公信息化设备保管使用、企业内部员工统一身份管理、企业信息公开与保密审查工作之间的联系、企业定密及涉密人员管理等，以严明的制度来约束员工行为，为企业的安全和发展提供有力的保障。

采取多元教育模式，提升干部职工信息安全和保密意识。

无论是信息安全还是保密工作，重点在于“防”,即绷紧安全防线，提升安全和保密意识。在宣传教育过程中，要结合时代发展特点和宣传教育对象特点，采取多元化的模式进行宣传教育。例如，通过企业微信公众号在全系统开展安全、保密内容有奖答题活动，邀请员工共同查找企业信息安全和保密工作中存在的漏洞，用信息安全案例开展警示教育，通过企业内部桌面安全系统推送信息安全知识和保密法律法规，定期举行信息安全防范演练等。通过多种宣传教育渠道，切实提升企业干部职工的信息安全和保密意识，杜绝因为“无知”造成的失密泄密，减少因利窃密，从思想上建立堡垒，防患于未然，共同筑牢安全防线。

提升防范技术手段。防范是企业安全防御环节中防止非法入侵和非法访问系统的关键一环，可采用以下技术提高防范手段。一是数据加密技术。数据加密技术是指将需要加密的数据经过加密密钥和密码算法变成不能阅读的无意义数据，在接收方使用解码密钥和密码算法后还原成原数据。这种方式只有通信双方才能识别信息，窃密者无法识别也很难破解和修改，从而提高了保密性。同时根据加密密钥和解密密钥是否相同，可分为对称密码技术和非对称密码技术，分别有各自的特点，企业应该根据自身需求进行选用。二是设置网络准入权限。企业可以通过使用用户名、口令密码等设置确定企业内部网络的准入权限，按员工接触企业信息的级别进行分权分级访问网络资源。对于通过无线网络通信技术使用个人电子产品接入企业内部网访问也应有相应的防范监控措施。三是防火墙技术。防火墙是保护计算机网络安全的一种技术，它在外部网和内部网之间建立屏障，通过过滤和隔离防范来自外部的各种攻击入侵。四是入侵检测技术。入侵检测技术是对入侵行为的检测，是一种积极主动的安全防护技术，是防火墙技术的补充。通过收集和分析网络行为，及时发现入侵行为和攻击迹象，及时阻拦入侵危害。五是病毒库技术。企业应安装先进的病毒库系统，积极做好防毒杀毒防范。同时进行技术创新，形成自己的病毒库，从而提高防毒杀毒能力。六是强化计算机网络安全。计算机信息系统及网络已经成为泄密事件的主要途径。企业要加强计算机和内部办公网络、企业门户网站的保密管理，实行内外网物理分离，内部办公电脑禁止连接互联网，坚持“谁上网，谁负责”的工作原则，严格落实“上网不涉密，涉密不上网”的保密要求。

加强涉密人员的管理。企业的重要和关键信息一般都掌握在关键少数人手里，确保企业信息安全要从关键少数着手。抓好企业涉密人员的管理，常态化进行保密法律法规，尤其是保密专业技术的培训，还要经常性进行警示教育，使企业涉密人员具有专业的保密技能。对涉密人员在上岗、在岗、离岗等各个环节进行闭环管理，做到环环相扣，保障企业保密工作顺利进行。

总之，企业在经营过程中要重视信息安全的管理工作，要系统、规范地总结和分析安全及保密管理工作中的问题，加强保密意识，建立规范化和完善的信息安全管理体系，有效地解决企业所面临的信息安全问题，让企业信息安全有保障。