企业信息安全管理探讨中图分类号：c93文献标识码：a文章编号：10070745（2009）0200摘要：企业的信息化建设对于企业发展具有重要的战略意义，但信息化也使企业同时承受着巨大的信息安全的风险。本文对企业信息安全管理存在的问题及措施进行了简要探讨。关键词：信息安全管理体系信息技术随着信息技术迅速渗透到社会经济的各个领域，尤其是i
ter
eti
tra
et技术和电子商务的广泛应用，推动着人类社会从工业经济时代向网络经济时代和信息化社会的方向前进。在这个动态演进的过程中，经济发展越来越需要信息的支持，信息已成为经济发展的战略资源和社会管理的基本要素。一、信息安全和信息安全管理根据国际标准化组织（iso）的定义，信息安全是“在技术上和管理上为数据处理系统建立的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。信息安全是一个动态的复杂过程，它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想，对可能的威胁、脆弱性和需要保护的信息资源进行分析，依据风险评估的结果为信息系统选择适当的安全措施，妥善应对可能发生的风险。信息安全
f的目标就是要保证敏感数据的机密性、完整性和可用性，人们建立起信息安全管理体系。它是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的系统，表示成方针、原则、目标、方法、核查表等要素的集合。
在信息安全管理体系中，通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等建立起信息安全管理框架。在该体系中，人们在技术层面作了许多卓越而富有成效的工作来保障企业信息安全，如密码学和访问控制等。但仅仅依靠技术手段不可能彻底解决信息安全问题。这是因为，信息以及信息用户的社会属性决定了信息安全中存在非技术因素，而从属于非技术因素的问题，无法依靠单纯的技术手段加以解决非技术手段主要包括法律手段、经济手段和行政手段等，在市场经济环境中，企业应首选法律和经济手段来保护信息安全。
二、企业信息安全问题分析信息化使企业同时承受着巨大的信息安全的风险。据统计，全球平均20秒就发生一次计算机病毒入侵；互联网上的防火墙大约25被攻破；窃取商业信息的事件平均以每月260的速度增加；约70的网络主管报告了因机密信息泄露而受损r