我國中小企業(yè)信息安全管理問題的原因分析
發(fā)布時間:2025-07-11 點(diǎn)擊:18
中小企業(yè)不僅在信息安全技術(shù)與大企業(yè)有較大的差距,更重要的是信息安全管理狀況也不容樂觀,普遍有重視安全技術(shù),輕視安全管理的現(xiàn)象存在。國家發(fā)展改革委中小企業(yè)司在年前曾發(fā)表一項(xiàng)《二零零六年中國中小企業(yè)信息化調(diào)查報告》, 結(jié)果顯示有80%的被訪中小企業(yè)只配有5名以下的信息技術(shù)人員。隨著全球信息化的發(fā)展,信息安全對中小企業(yè)將會變得越加重要, 其內(nèi)部組織管理、相關(guān)技術(shù)力量卻任然薄弱。總結(jié)我國中小企業(yè)信息安全安全問題的原因主要有一些幾個方面:
1、信息安全管理意識不強(qiáng)。
相對大型企業(yè)來說,中小企業(yè)信息資產(chǎn)方面的積累相對較為薄弱,并且很多時候這種積累并非企業(yè)的有意識行為,所以在正常的信息化應(yīng)用情況下,往往會忽視對自己信息資產(chǎn)的保護(hù),而只有在信息資產(chǎn)受到破壞,形成了實(shí)際的經(jīng)濟(jì)和附加損失的情況下,才會開始意識和重視這信息安全問題,可以說,這種中小企業(yè)的信息資產(chǎn)管理現(xiàn)狀,是造成中小企業(yè)信息安全問題的主要內(nèi)因之一。受社會文化環(huán)境等綜合因素的影響,國人往往對于安全防范存在一種惰性和漠視,而聯(lián)系到實(shí)際,中小企業(yè)員工甚至管理者普遍都存在著安全意識薄弱的問題,例如:在實(shí)施信息安全項(xiàng)目的過程中,經(jīng)常可以遇到企業(yè)員工安裝公司不允許使用的軟件、中止安裝在自己個人電腦上的安全產(chǎn)品客戶端等諸如此類的事件,造成這些問題的原因是多種多樣的,但發(fā)生這種情況的最核心因素,是這些員工沒有足夠的信息安全意識,他們往往因?yàn)樽约旱谋憷`反信息安全規(guī)章,也往往意識不到自己的這種行為,會將其他同事甚至整個企業(yè)的信息資產(chǎn)推向危險的境地。這給我們一個最重要的啟示:安全設(shè)施的建立只是企業(yè)信息安全的第一步,而如何在構(gòu)建完成的信息安全體系中有效徹底的貫徹事先制訂的信息安全策略以及不斷提高企業(yè)的全員信息安全意識是信息安全管理工作工作更重要的部分。要達(dá)到這樣的目標(biāo),需要企業(yè)決策層的大力支持、定期實(shí)施安全培訓(xùn)教育以及定期評估和調(diào)整安全政策,這樣才能保證企業(yè)安全體系處于積極活躍的健康狀態(tài)。
2、信息安全管理水平較低信息安全風(fēng)險較大。
目前的中小企業(yè)管理層人員雖然已經(jīng)認(rèn)識到了信息化的重要性,但卻沒有認(rèn)識到企業(yè)信息化管理是需要在企業(yè)管理念上進(jìn)行根本變革才能實(shí)現(xiàn)的。雖然有一些中小企業(yè)采用了現(xiàn)代通信、計算機(jī)、網(wǎng)絡(luò)技術(shù)來構(gòu)建信息系統(tǒng),以提高企業(yè)的效率與競爭能力,但相應(yīng)的管理措施沒有到位,如系統(tǒng)的運(yùn)行、開發(fā)等崗位不清、維護(hù)、職責(zé)不分,經(jīng)常一人身兼數(shù)職。信息安全大約70%以上的問題都是由管理方面的原因造成的。他們大多是按照原有的管理模式進(jìn)行改造,結(jié)果造成一種信息化的假象,致使“信息化”走向了徒有其表的誤區(qū),信息安全也沒有得到足夠重視。
3、人才短缺專業(yè)人員匱乏。
中小企業(yè)一般很難有足夠的吸引力留住信息化及信息安全這一領(lǐng)域的人才。因此,在這種人才短缺的情況下,自然影響到企業(yè)信息化的進(jìn)程。主要表現(xiàn)為:企業(yè)一般沒有自己的信息化建設(shè)人才隊(duì)伍。
信息技術(shù)專業(yè)人員的知識結(jié)構(gòu)也不能達(dá)到要求,掌握技術(shù)的不懂管理,懂管理的又不會技術(shù),而且信息安全往往沒有專業(yè)人員進(jìn)行管理。
客觀的說信息安全領(lǐng)域的知識和技能在信息技術(shù)領(lǐng)域應(yīng)歸類于高階層面,因?yàn)樾畔踩珡臉I(yè)人員不只縱向上要對各項(xiàng)工作有精深的理解,橫向上還需要對信息系統(tǒng)的整體邏輯乃至企業(yè)的業(yè)務(wù)邏輯有深刻的認(rèn)知,特別對于信息安全管理的經(jīng)驗(yàn)有很高的要求,這從很大程度上造成了中小企業(yè)難以具備足夠的技術(shù)力量來保障信息安全設(shè)施的運(yùn)轉(zhuǎn);其實(shí)拋開信息安全技術(shù)力量儲備不論,即使是應(yīng)用層面的信息技術(shù)力量,在中小企業(yè)中也經(jīng)常出現(xiàn)不敷使用的情況,即使很多較大規(guī)模的中型企業(yè),往往也只能做到保證有專人負(fù)責(zé)信息化工作而已,而越向更小規(guī)模的企業(yè)探究,愈會發(fā)現(xiàn)這種技術(shù)力量不足的情況所造成影響,而且在沒有專職信息技術(shù)人員的情況下,信息化事務(wù)所需要的時間和資源往往與公司正常業(yè)務(wù)運(yùn)營發(fā)生正面沖突,使實(shí)際情況更趨惡化,而且這個問題往往會造成惡性循環(huán),即信息安全專業(yè)人員的缺乏,不僅造成了信息安全理念的傳播無法形成內(nèi)部源頭,也導(dǎo)致了在評估投入時難于做出正確決策。
4、資金短缺。
中小企業(yè)的資金狀況決定了其信息化投入遇到的限制相對較多。企業(yè)相對有限的資金,一般要優(yōu)先投入到直接促進(jìn)公司業(yè)績增長的方向,而無形中就造成了信息資產(chǎn)所面臨的巨大風(fēng)險;特別是在當(dāng)今越來越多的企業(yè)業(yè)務(wù)與互聯(lián)網(wǎng)有密切的聯(lián)系,甚至一些企業(yè)的業(yè)務(wù)完全建立在互聯(lián)網(wǎng)之上,以平均不到企業(yè)總收入1%的信息安全投入,怎么能保障這些業(yè)務(wù)的正常運(yùn)行?雖然中小企業(yè)不可能動輒拿出幾十萬乃至上百萬的資金用于信息安全系統(tǒng)建設(shè),但還是應(yīng)該針對自身情況,盡可能使投入比例接近常規(guī),至少應(yīng)該使企業(yè)核心信息資產(chǎn)的安全得到保證,從實(shí)際情況來講,在良好的安全理念指導(dǎo)下,進(jìn)行細(xì)致的規(guī)劃和評估,通過適當(dāng)?shù)耐度胍彩强梢赃_(dá)到較好的整體效果,因?yàn)樵谥行∑髽I(yè)的應(yīng)用情境下,信息安全防御廣度是相對容易控制的;中小企業(yè)對信息安全產(chǎn)品的要求也不是簡約版產(chǎn)品這么簡單,在達(dá)到基本性能和功能要求的基礎(chǔ)之上,還需要充分考慮中小企業(yè)的應(yīng)用方式及習(xí)慣,設(shè)計出體現(xiàn)其規(guī)律和特點(diǎn)的真正適合中小企業(yè)的信息安全產(chǎn)品,才能從根本上滿足中小企業(yè)信息安全需求。另外不得不重申的是,購置安全產(chǎn)品僅僅只是企業(yè)信息安全工作的步驟之一,我們不能只將眼光放在產(chǎn)品的選擇上,相關(guān)的安全政策制訂、培訓(xùn)計劃的選擇以及實(shí)施等問題也是信息安全投入不可或缺的組成部分,這些“軟性投入”對企業(yè)信息安全的影響往往更加深遠(yuǎn),更加需要企業(yè)決策者仔細(xì)考量,因?yàn)樵谕度胧芟薜那闆r下,往往會造成決策層只注重硬件設(shè)施投入而不注重管理實(shí)施的開展,以及將有限的投入花費(fèi)在局部問題上,從而造成信息安全“短板效應(yīng)”,進(jìn)而無法保證信息安全設(shè)施的完整性,最終造成信息安全實(shí)施的失敗。
5、中小企業(yè)的信息倫理意識不強(qiáng)。
由于某些員工的信息倫理原因而帶來的信息安全問題屢見不鮮。在很多時候,企業(yè)的員工都會因?yàn)槟承┎唤?jīng)意的行為對企業(yè)的信息資產(chǎn)造成破壞。尤其是在中小企業(yè)中員工的信息安全意識往往相對比較落后,對于互聯(lián)網(wǎng)上存在的威脅往往缺乏足夠的重視,而企業(yè)的管理層對于網(wǎng)絡(luò)的使用也沒有很好的管理手段。因此,員工對企業(yè)網(wǎng)絡(luò)的誤用濫用行為常使安全情況更加惡化,誤用濫用網(wǎng)絡(luò)帶來了惡意攻擊、企業(yè)機(jī)密數(shù)據(jù)泄露、感染病毒木馬、員工工作效率大幅下降等問題。
從上述分析可以看出企業(yè)不但要重視外來防范, 更要注意內(nèi)部的信息安全保護(hù)。企業(yè)的信息安全包括安全策略、技術(shù)、管理等等復(fù)雜的因素, 而非技術(shù)、產(chǎn)品就能解決的。中小企業(yè)的信息安全保護(hù), 需要一整套從內(nèi)部核心到邊界再到邊界外的完整的信息安全管理機(jī)制。由于中小企業(yè)自身規(guī)模小、資金有限,安全建設(shè)需要特別考慮經(jīng)濟(jì)問題, 力求成本低、可靠性高和實(shí)用性強(qiáng)的安全解決方案。
ISO27001是一套全面嚴(yán)謹(jǐn)?shù)男畔踩芾眢w系,旨在幫助各種不同類型和規(guī)模的組織實(shí)施并運(yùn)行有效的信息安全管理,從而增強(qiáng)企業(yè)識別、防止、減少和控制組織信息安全風(fēng)險的能力。中小企業(yè)也可以運(yùn)用 ISO27001信息安全管理系統(tǒng)的一些方法和措施提高自己的信息安全管理水平。
通過高新技術(shù)企業(yè)認(rèn)定的好處
科技成果評價是怎么的流程及需要資料有哪些?
IATF16949體系需要準(zhǔn)備哪些資料?
空氣源熱泵供暖機(jī)組3C認(rèn)證介紹
商標(biāo)不能這樣玩!-----商標(biāo)注冊
在安岳辦理iso9001質(zhì)量認(rèn)證要滿足哪些條件?
TS16949第二階段審核應(yīng)注意什么
怎樣代辦綠色環(huán)保節(jié)能產(chǎn)品費(fèi)用得多少錢
1、信息安全管理意識不強(qiáng)。
相對大型企業(yè)來說,中小企業(yè)信息資產(chǎn)方面的積累相對較為薄弱,并且很多時候這種積累并非企業(yè)的有意識行為,所以在正常的信息化應(yīng)用情況下,往往會忽視對自己信息資產(chǎn)的保護(hù),而只有在信息資產(chǎn)受到破壞,形成了實(shí)際的經(jīng)濟(jì)和附加損失的情況下,才會開始意識和重視這信息安全問題,可以說,這種中小企業(yè)的信息資產(chǎn)管理現(xiàn)狀,是造成中小企業(yè)信息安全問題的主要內(nèi)因之一。受社會文化環(huán)境等綜合因素的影響,國人往往對于安全防范存在一種惰性和漠視,而聯(lián)系到實(shí)際,中小企業(yè)員工甚至管理者普遍都存在著安全意識薄弱的問題,例如:在實(shí)施信息安全項(xiàng)目的過程中,經(jīng)常可以遇到企業(yè)員工安裝公司不允許使用的軟件、中止安裝在自己個人電腦上的安全產(chǎn)品客戶端等諸如此類的事件,造成這些問題的原因是多種多樣的,但發(fā)生這種情況的最核心因素,是這些員工沒有足夠的信息安全意識,他們往往因?yàn)樽约旱谋憷`反信息安全規(guī)章,也往往意識不到自己的這種行為,會將其他同事甚至整個企業(yè)的信息資產(chǎn)推向危險的境地。這給我們一個最重要的啟示:安全設(shè)施的建立只是企業(yè)信息安全的第一步,而如何在構(gòu)建完成的信息安全體系中有效徹底的貫徹事先制訂的信息安全策略以及不斷提高企業(yè)的全員信息安全意識是信息安全管理工作工作更重要的部分。要達(dá)到這樣的目標(biāo),需要企業(yè)決策層的大力支持、定期實(shí)施安全培訓(xùn)教育以及定期評估和調(diào)整安全政策,這樣才能保證企業(yè)安全體系處于積極活躍的健康狀態(tài)。
2、信息安全管理水平較低信息安全風(fēng)險較大。
目前的中小企業(yè)管理層人員雖然已經(jīng)認(rèn)識到了信息化的重要性,但卻沒有認(rèn)識到企業(yè)信息化管理是需要在企業(yè)管理念上進(jìn)行根本變革才能實(shí)現(xiàn)的。雖然有一些中小企業(yè)采用了現(xiàn)代通信、計算機(jī)、網(wǎng)絡(luò)技術(shù)來構(gòu)建信息系統(tǒng),以提高企業(yè)的效率與競爭能力,但相應(yīng)的管理措施沒有到位,如系統(tǒng)的運(yùn)行、開發(fā)等崗位不清、維護(hù)、職責(zé)不分,經(jīng)常一人身兼數(shù)職。信息安全大約70%以上的問題都是由管理方面的原因造成的。他們大多是按照原有的管理模式進(jìn)行改造,結(jié)果造成一種信息化的假象,致使“信息化”走向了徒有其表的誤區(qū),信息安全也沒有得到足夠重視。
3、人才短缺專業(yè)人員匱乏。
中小企業(yè)一般很難有足夠的吸引力留住信息化及信息安全這一領(lǐng)域的人才。因此,在這種人才短缺的情況下,自然影響到企業(yè)信息化的進(jìn)程。主要表現(xiàn)為:企業(yè)一般沒有自己的信息化建設(shè)人才隊(duì)伍。
信息技術(shù)專業(yè)人員的知識結(jié)構(gòu)也不能達(dá)到要求,掌握技術(shù)的不懂管理,懂管理的又不會技術(shù),而且信息安全往往沒有專業(yè)人員進(jìn)行管理。
客觀的說信息安全領(lǐng)域的知識和技能在信息技術(shù)領(lǐng)域應(yīng)歸類于高階層面,因?yàn)樾畔踩珡臉I(yè)人員不只縱向上要對各項(xiàng)工作有精深的理解,橫向上還需要對信息系統(tǒng)的整體邏輯乃至企業(yè)的業(yè)務(wù)邏輯有深刻的認(rèn)知,特別對于信息安全管理的經(jīng)驗(yàn)有很高的要求,這從很大程度上造成了中小企業(yè)難以具備足夠的技術(shù)力量來保障信息安全設(shè)施的運(yùn)轉(zhuǎn);其實(shí)拋開信息安全技術(shù)力量儲備不論,即使是應(yīng)用層面的信息技術(shù)力量,在中小企業(yè)中也經(jīng)常出現(xiàn)不敷使用的情況,即使很多較大規(guī)模的中型企業(yè),往往也只能做到保證有專人負(fù)責(zé)信息化工作而已,而越向更小規(guī)模的企業(yè)探究,愈會發(fā)現(xiàn)這種技術(shù)力量不足的情況所造成影響,而且在沒有專職信息技術(shù)人員的情況下,信息化事務(wù)所需要的時間和資源往往與公司正常業(yè)務(wù)運(yùn)營發(fā)生正面沖突,使實(shí)際情況更趨惡化,而且這個問題往往會造成惡性循環(huán),即信息安全專業(yè)人員的缺乏,不僅造成了信息安全理念的傳播無法形成內(nèi)部源頭,也導(dǎo)致了在評估投入時難于做出正確決策。
4、資金短缺。
中小企業(yè)的資金狀況決定了其信息化投入遇到的限制相對較多。企業(yè)相對有限的資金,一般要優(yōu)先投入到直接促進(jìn)公司業(yè)績增長的方向,而無形中就造成了信息資產(chǎn)所面臨的巨大風(fēng)險;特別是在當(dāng)今越來越多的企業(yè)業(yè)務(wù)與互聯(lián)網(wǎng)有密切的聯(lián)系,甚至一些企業(yè)的業(yè)務(wù)完全建立在互聯(lián)網(wǎng)之上,以平均不到企業(yè)總收入1%的信息安全投入,怎么能保障這些業(yè)務(wù)的正常運(yùn)行?雖然中小企業(yè)不可能動輒拿出幾十萬乃至上百萬的資金用于信息安全系統(tǒng)建設(shè),但還是應(yīng)該針對自身情況,盡可能使投入比例接近常規(guī),至少應(yīng)該使企業(yè)核心信息資產(chǎn)的安全得到保證,從實(shí)際情況來講,在良好的安全理念指導(dǎo)下,進(jìn)行細(xì)致的規(guī)劃和評估,通過適當(dāng)?shù)耐度胍彩强梢赃_(dá)到較好的整體效果,因?yàn)樵谥行∑髽I(yè)的應(yīng)用情境下,信息安全防御廣度是相對容易控制的;中小企業(yè)對信息安全產(chǎn)品的要求也不是簡約版產(chǎn)品這么簡單,在達(dá)到基本性能和功能要求的基礎(chǔ)之上,還需要充分考慮中小企業(yè)的應(yīng)用方式及習(xí)慣,設(shè)計出體現(xiàn)其規(guī)律和特點(diǎn)的真正適合中小企業(yè)的信息安全產(chǎn)品,才能從根本上滿足中小企業(yè)信息安全需求。另外不得不重申的是,購置安全產(chǎn)品僅僅只是企業(yè)信息安全工作的步驟之一,我們不能只將眼光放在產(chǎn)品的選擇上,相關(guān)的安全政策制訂、培訓(xùn)計劃的選擇以及實(shí)施等問題也是信息安全投入不可或缺的組成部分,這些“軟性投入”對企業(yè)信息安全的影響往往更加深遠(yuǎn),更加需要企業(yè)決策者仔細(xì)考量,因?yàn)樵谕度胧芟薜那闆r下,往往會造成決策層只注重硬件設(shè)施投入而不注重管理實(shí)施的開展,以及將有限的投入花費(fèi)在局部問題上,從而造成信息安全“短板效應(yīng)”,進(jìn)而無法保證信息安全設(shè)施的完整性,最終造成信息安全實(shí)施的失敗。
5、中小企業(yè)的信息倫理意識不強(qiáng)。
由于某些員工的信息倫理原因而帶來的信息安全問題屢見不鮮。在很多時候,企業(yè)的員工都會因?yàn)槟承┎唤?jīng)意的行為對企業(yè)的信息資產(chǎn)造成破壞。尤其是在中小企業(yè)中員工的信息安全意識往往相對比較落后,對于互聯(lián)網(wǎng)上存在的威脅往往缺乏足夠的重視,而企業(yè)的管理層對于網(wǎng)絡(luò)的使用也沒有很好的管理手段。因此,員工對企業(yè)網(wǎng)絡(luò)的誤用濫用行為常使安全情況更加惡化,誤用濫用網(wǎng)絡(luò)帶來了惡意攻擊、企業(yè)機(jī)密數(shù)據(jù)泄露、感染病毒木馬、員工工作效率大幅下降等問題。
從上述分析可以看出企業(yè)不但要重視外來防范, 更要注意內(nèi)部的信息安全保護(hù)。企業(yè)的信息安全包括安全策略、技術(shù)、管理等等復(fù)雜的因素, 而非技術(shù)、產(chǎn)品就能解決的。中小企業(yè)的信息安全保護(hù), 需要一整套從內(nèi)部核心到邊界再到邊界外的完整的信息安全管理機(jī)制。由于中小企業(yè)自身規(guī)模小、資金有限,安全建設(shè)需要特別考慮經(jīng)濟(jì)問題, 力求成本低、可靠性高和實(shí)用性強(qiáng)的安全解決方案。
ISO27001是一套全面嚴(yán)謹(jǐn)?shù)男畔踩芾眢w系,旨在幫助各種不同類型和規(guī)模的組織實(shí)施并運(yùn)行有效的信息安全管理,從而增強(qiáng)企業(yè)識別、防止、減少和控制組織信息安全風(fēng)險的能力。中小企業(yè)也可以運(yùn)用 ISO27001信息安全管理系統(tǒng)的一些方法和措施提高自己的信息安全管理水平。
通過高新技術(shù)企業(yè)認(rèn)定的好處
科技成果評價是怎么的流程及需要資料有哪些?
IATF16949體系需要準(zhǔn)備哪些資料?
空氣源熱泵供暖機(jī)組3C認(rèn)證介紹
商標(biāo)不能這樣玩!-----商標(biāo)注冊
在安岳辦理iso9001質(zhì)量認(rèn)證要滿足哪些條件?
TS16949第二階段審核應(yīng)注意什么
怎樣代辦綠色環(huán)保節(jié)能產(chǎn)品費(fèi)用得多少錢