刊登广告 | 杂志订阅 | 联系我们 | 关于我们 | 加入理事会 | 加入收藏
 
首页 |本刊特稿 |管理论坛 |管理批判 |案例·实务 |封面文章 |管理创新 |方法 |企业信息化 |理论·前沿 |管理点滴
微言管理 |精彩推荐 |栏目展示 |关于我们 |投稿须知 |在线调查 |主编信箱 |在线交流 |企管书架|企业家|读书汇
     
   
     
请输入要搜索的文章标题
 
 
  《企业管理》杂志简介:
《企业管理》杂志是由国务院国有资产监督管理委员会主管,中国企业联合会主办的中文核心期刊(月刊)。
· 1980年创刊 领先地位
· 庞大的精英受众群体
· 全球视角 本土方案
· 最高发行量48万份 渗透中国企业界
 
   订阅方式    
 
 
 

1. 在选题方面,当前国内企业管理领域的热点、难
点、疑点问题。了解企业当前的实际问题,是提高
稿件采用率的一个关键因素。
2. 在文章风格方面,在叙述方式上力求简明通俗,
注重可读性和观点的新颖。您不妨施展一下您的生
花妙笔,把您的理论、观点和故事叙述得更明白有
趣一些。
3.本刊多年来形成并保持了以案例说话的风格,我
们欢迎作者提供更多新鲜的、原创的案例文章。
4.本刊审稿周期为两个月,对于没有选用的稿件尚
无法一一退稿,敬请谅解。
5.本刊对于作者投稿从不收取“版面费”、“审稿
费”等名目的任何费用。

 
  <<详情查询>>  
 
  投稿邮箱 :E_mail:qyglzz@263.net.cn
 
 
  副社长:王仕斌:
点击这里给我发消息 电话:68453201
采编中心主任:王黎: 特稿、批判
点击这里给我发消息 电话:68701529
采编中心常务副主任:郑亮:特稿、方法
点击这里给我发消息 电话:68436071
栏目主编:程丹丹 :信息化·智能化、理论·前沿
点击这里给我发消息 电话:68414646
栏目主编:苗榕:案例·实务
点击这里给我发消息 电话:68436071
栏目主编:于静:调研与分析、管理创新
点击这里给我发消息 电话:68414646
编辑:张思嘉:论坛、封面文章
点击这里给我发消息 电话:68414646
 
 
     
  更多>>>  
  ·寻找“拖延症”的病根(2022-7)
·2022第一期补白
·数字孪生在制造业的七种应用(2021-12...
·从错误中发现成功的契机(2021-11)
·为什么你总觉得累?(2021-9)
·9个习惯,助你事半功倍(2021-9)
·“拖延”是止步于昨日的艺术(2021-9)...
 
 
     
  更多>>>  
 
 
         
    企业信息化    
  企业信息安全体系构建(2024-4)  
企业管理杂志 发布时间:24-05-16        
   

 

文|马天骐

 

关键词:信息安全;网络信息安全体系建设;数据安全;内外部协同

 

  随着信息技术的飞速发展,以及国际形势的变幻莫测,企业网络信息安全面临着更大的挑战,特别是涉及经济民生、基础设施、核心技术的企业面临更加严峻的形势,网络信息安全被提到了一个至关重要的位置。

 

五大安全体系应对网络安全风险

  企业面临多样的网络信息安全威胁,包括公网互联的安全威胁、内部系统的安全隐患、应用产品的安全风险、企业合规风险等。企业安全技术构架须不断完善和优化,构建完善的信息安全体系,保障企业网络信息安全。

1.企业系统网络防御体系建设

  系统网络防御体系旨在快速识别攻击并进行拦截,使企业能够有效抵御外部入侵,从而拥有更安全的使用环境。系统网络防御体系的工作内容一是搭建安全防护设施,二是防护设施的精细化运营。

 搭建安全防护产设施,聚焦边界防护及纵深防护。边界防护用于企业外部及内部不同工作区域之间的边界隔离,常用的产品包括但不限于安全态势感知设备、WEB应用防火墙、云防火墙、IPSIDSWAF防火墙等。有条件的企业还可以配置网络全流量探针以及网络蜜罐设备,方便及时对内外部入侵威胁进行定位和反制。纵深防护主要用于企业内部,首先聚焦员工上网行为管理,全面记录用户上网行为、上网时长等信息,拦截非法网站的访问,对流量进行管控,确保办公网正常稳定;其次是对WIFI及员工远程办公的安全部署,每个账号使用时都要进行权限认证。同时WIFI网络部署对应访客网络,访客网络和内部网络做好隔离,减少黑客社会工程学入侵和近场攻击的风险。

  精细化运营是一个持续的过程,安全防护规则应不断适应新的网络环境才能应对新形势、满足新需求。维护企业的安全设施防护经验库,将安全防护设施的运营经验和遇到的威胁情报汇总整理,为后续人员流动、攻防演练威胁定位提供技能储备。精细化运营需要企业组成专业团队以应对不断更新的安全需求。

2.企业数字化产品安全体系建设

  企业产品需要在开发迭代的过程中通过安全评审,根据不同产品的特点编写产品安全评审检查项,以降低产品后期的返工率。提高研发人员的安全编码意识,可对技术漏洞起到一定的治理效果。利用工具对安全缺陷进行自动化识别,减少安全人员人工检测的时间,提高代码安全检测效率,如使用代码审计、安全漏洞黑盒扫描、IAST自动化安全测试等。

   无法靠自动化方式发现的安全漏洞需要进行人工渗透测试。通过渗透测试可以更有针对性地对企业环境和产品安全性进行评估。

  通过编写安全测试规范,形成统一的安全测试检查单。统一质量测试标准能够解决安全人员水平参差所导致的能发漏洞数量差距明显的问题。安全测试规范一般包括WEB安全测试规范、Android应用安全测试规范、iOS应用安全测试规范、技术合规测试规范等。

3.企业数据安全体系建设

   数据安全体系是以数据为中心展开的一系列安全措施,是实现隐私保护的重要手段之一。广义上的数据安全体系指所有与数据相关的安全措施的总和,需要与其他安全体系协同才能确保效果。

   数据安全管理规范明确了数据安全体系建设过程中的标准,是建设数据安全体系的第一步。规范应符合企业的实际情况,一般包括数据生命周期中各环节的实施规范、数据分类分级参考、不同级别数据的处理措施等。企业对采集和使用的原始数据进行合规评估,包括最小化数据采集、个人信息主体告知、数据安全风险评估。数据传输主要通过数字证书、加密算法、非对称密钥等技术完成互联网数据传输加密,保护数据安全。通过对数据存储的加密可以防止数据泄露后被识别和读取,当测试研发或者业务部门需要使用生产数据时,应先将敏感数据进行加密、修改或者匿名化处理,防止敏感信息泄露。在销毁数据时应删除原始数据及备份数据,并对数据存储介质进行格式化或填充,使数据无法恢复,从而实现数据的安全销毁。

4.企业隐私合规管理体系建设

   隐私合规管理体系应融入应用安全体系与数据安全体系。企业要开展隐私合规管理体系建设,首先要对相关法律法规和政策进行深度学习,明确监管要求;其次,企业文化应认可隐私合规管理工作带来的价值。

  要平衡好隐私合规与业务创新的关系。隐私合规需要专业团队负责执行落地及后续的合规审计、流程规范制定,一般由安全部门和法务部门共同负责,还需要产品设计、业务开发以及运维等部门的支持,共同建设隐私合规管理体系。

   数据合规是隐私合规管理体系的核心部分,需要保障数据使用符合法律法规要求,包括数据的采集、存储、访问、使用、出境、委托处理、共享、转让、公开披露、主体权利等。

5.企业安全管理体系建设

  安全管理体系是企业信息安全体系中的基础模块,企业可以通过安全管理制度、安全培训课程、安全应急响应工作链来搭建安全底座。

  安全管理制度即制定严格规范的管理手册,包含安全标准化的相关术语、安全生产标准化的管理方针、具体实施方案、应急救援措施、操作规范等内容,是企业实施安全标准化建设项目的指导性文件。同时,将安全标准化建设项目的目标进行分解,明确各阶段的任务和目标及各级管理人员的职责和权限并配备专业的安全管理人员。

  安全培训可分为安全意识培训和安全技术培训两方面。安全意识培训的目的是提高员工的信息安全认知与防范意识,如密码设置、离座锁屏、识别钓鱼邮件等。安全技术培训主要针对企业安全管理人员及技术开发人员,提高安全编码能力,规避常见的安全漏洞,降低产品的技术安全风险。

  建立安全应急体系以应对内外部网络的安全事件。企业需要打通部门壁垒,建立专门的应急响应组织处理应急事件,同时协调外部资源做好安全支持,如维保服务厂家、供应商、网信和公安部门等。创建安全事件分级制度及应急处置流程,根据网络安全事件的性质、机理和产生原因分级分类处置,提高企业安全事件响应、处置效率。

 

企业安全架构设计

  企业安全架构设计可根据不同需求进行具体的设计和实施,本文以技术型企业为例构建企业安全架构。

  技术型企业的安全架构设计需要重点考虑网络基础设施安全、产品生命周期安全、企业安全管理等方面,以确保核心代码知识产权和产品数据的安全(如图1所示)。

 

 

  从产品生命周期安全的角度考虑,可以将过程划分为需求设计、产品研发、测试发布、产品运维四个阶段。需求设计阶段,企业可以制定项目团队的安全方案规划,包括安全流程、技术路线、安全基线管理等相关要素的设计,然后交由安全审计小组进行安全合规审计,确保项目规划符合公司安全管理要求。产品研发阶段,重视代码结构合规审计及代码库管理,知识产权的代码信息应存储在有安全防护能力的企业私有代码库中,确保代码编写符合标准。同时,对产品开发所使用的公共组件库进行定期安全扫描和更新,清理有安全隐患的组件。产品测试和预发布阶段,可进行多维度的黑盒和白盒测试,分别从产品的功能实现和产品的实现逻辑维度检验安全指标。遵照国家法律法规及公司内部安全规范,在产品上线前对数据在整个数据生命周期中的安全性进行评估和检测,维护公司数据资产和客户隐私数据的安全。产品上线运营后,持续跟进产品的安全指标,应对不断变化的安全威胁,保障安全补丁的维护更新。

  企业安全管理重点着眼于安全组织和安全规则的建设落地,包括成立信息安全办公室,统筹企业内外部安全职责,制定安全事件应急响应方案、产品安全管理办法和数据安全规范等相关制度,让安全措施有据可依、有法可循。重视安全实践活动,培养员工的安全管理积极性,鼓励员工为安全管理建言献策,并制定相应的激励机制。将安全演练红蓝军指挥部设置为企业常设虚拟组织,定期开展攻防对抗演练。完善企业安全评审流程,组织开展员工安全意识和技能培训,将安全落在企业管理最实处。

  在完善企业基础设施安全管理方面,结合实际经验和外部法律法规制定合理的安全量化指标,统一企业安全标准。关注软硬件的资产管理,对数据资产、设备资产、软件资产、IP地址、域名资产、数字证书、人员组织架构等统一纳入管理,有利于风险事件发生后的快速定位、快速处置。针对企业供应链搭建专门的安全维护平台,涉及厂商产品和人员的安全风险和产品漏洞及时同步,快速完成安全升级和供应商淘汰。建设安全防护知识库,有助于提高员工安全能力和安全意识,及时更新安全威胁情报库,掌握最新的漏洞信息和威胁情报,帮助企业做好安全预警和安全加固工作。搭建边界网络防御体系,企业内部划分办公区域、研发区域和生产区域。利用网络防火墙、零信任产品、VPN工具等安全设备划分各自区域的网络边界,同时将内部网络和外部互联网隔离,根据企业实际需求动态调整安全策略,安排安全专员维护。企业在考虑事前和事后防护的同时应通过安全监测和态势感知设备做好事中检测,对内外部网络流量和信息进行全量收集和风险筛查,提高企业在安全事件中的响应速度和应对能力。■

主要参考文献

[1] 王祯军.网络安全紧急状态制度的建构意义与规制内容研究[J].河北法学,2023,41(10).

[2] 李伟.分析计算机网络下的信息安全及防护[J].网络安全技术与应用,2023(8).

[3] 盘采华,杨馨蕾,王雨倩.科研院所网络安全应急响应体系模型设计[J].网络安全和信息化,2023(8).

作者单位 中国银联股份有限公司

   顶(44)  踩(73)   查看次数:(919)   
 
    更多>>>
  本刊特稿
·新质生产力激发经营主体活力(2024-5)
·探秘国有控股上市公司市值管理(2024-5)
·企业数字化本质:技术与组织互构(2024-5)...
·领导者六个角色(2024-5)
·把握发展新质生产力辩证法(2024-5)
·他山之石:宜得利 “轻盈越海”启示(2024-...
 
 
    更多>>>
  管理论坛
·豫商六种精神(2024-5)
·以用户满意为中心的经营管理(2024-5)
·无我之心,自我进化(2024-5)
·人力资源管理的战略意义(2025-5)
·诸子百家思想蕴含的管理智慧(2024-4)
·无才可用与怀才不遇之困(2024-4)
 
 
 
    更多>>>
  管理批判
·你为“知识付费”买单了吗?(2023-10)
·老干妈“老”了吗?(2023-10)
·警惕管理者错配(2023-9)
·“凉白开”的重重危机(2023-9)
·野性消费退潮爆红品牌如何长红?(2023-2)...
·“迪王”加冕之路的内忧外患 ——基于供应...
 
 
    更多>>>
  案例·实务
·安徽交控:整合存量 做优增量 激活变量(...
·长江产业集团“1+N+1+1”投资运营体系(202...
·浙江海港集团“一体两翼多联”发展格局(20...
·伯克希尔60年持续高增长之道(2024-4)
·中兴通讯出口管制合规管理(2024-3)
·雅戈尔破解品牌内卷(2024-3)
 
 
 
    更多>>>
  盈利模式
·周庄:打造“中国第一水乡”(2020-07)
·盈利原理 ——透视商业的本质(2014-04)
·探索制造业服务化之路(2014-04)
·黄太吉煎饼的盈利逻辑(2014-04)
·用现金流模式检测盈利模式的“质量”(2014...
·新东方盈利模式的先天性缺陷(2014-03)
 
 
    更多>>>
  封面文章
·“数字化太极”打造现代中药产业高地(2024...
·能源企业绿色低碳转型“准能样本”(2024-4...
·淮河能源:打造新型能源集团(2024-3)
·开投集团:激发创新活力 赋能产业升级(202...
·扛牢能源保供责任 打造全国一流绿色能源企...
·“旧我”到“新我”,河钢颠覆式商业模式变...
 
 
 
    更多>>>
  管理创新
·秦山核电共进式公众沟通(2024-5)
·国能锦界:党建助力“双碳”科研攻关(2024...
·颠覆式创新破解内卷(2024-5)
·从小米SU7爆火,看雷军十八般营销武艺(202...
·深圳供电局:可持续发展战略下ESG理念的应...
·科创企业全员绩效考评模式 ——以长江环科...
 
 
    更多>>>
  方法
·全流程设计企业培训(2024-5)
·企业专利布局实战(2024-5)
·精益生产管理逻辑(2024-5)
·关键岗位界定核心人才(2024-5)
·HR总监如何抓绩效(2024-4)
·战略绩效管理化解经营矛盾(2024-4)
 
 
 
    更多>>>
  企业信息化
·数字化转型,顶层设计怎么做?(2024-4)
·企业信息安全体系构建(2024-4)
·工业大数据:从数据到价值(2024-4)
·PIDO四步推进数字化转型(2024-3)
·智能合规化解经营风险
·数智人力赋能项目型组织(2024-3)
 
 
    更多>>>
  理论·前沿
·公司治理有效性评价体系构建与应用(2024-5...
·数智赋能专精特新(2024-4)
·世界一流企业“双碳”管理经验与启示(2024...
·战略型董事会提升公司治理效能(2024-3)
·全产业链知识产权保护模式研究 ——基于三...
·学践结合构建“四四三”动力模型(2024-2)...
 
 
 
 
国务院国有资产监督管理委员会 国家发展和改革委员会 中华人民共和国商务部 中企联合网 中国投资协会 中国工商协会 中国钢铁工业协会 中国国家企业网
中国电力企业联合会 中国经济网 人民网 新华网 中国网 央视国际 中青网 中国日报 中经网 《经济管理》杂志
 
加入理事会 | 市场活动 | 刊登广告 | 杂志订阅 | 联系我们 | 关于我们
投稿邮箱 :qyglzz@263.net.cn    Copyright 2011, 版权所有 www.cecm.net
京ICP备12008127

京公网安备 11010802023979号