大多数钢铁企业的信息安全管理仍然存在很多问题,需要认真面对。
钢铁企业信息安全主要问题
三、 钢铁企业信息安全主要问题
三零卫士通过对钢铁企业各部门进行多次信息安全管理和信息安全技术现场调研,得出钢铁企业目前面临的信息安全主要问题如下:
1. 组织问题
目前钢铁企业普遍缺乏明确、可操作的信息安全方针;企业层面与二级单位层面的信息安全管理制度不协调;缺乏对整体信息安全管理的风险评估、对信息安全管理的全面评审;缺乏独立的信息安全领导组织,信息安全的责任不明晰;各类流程混乱、不按照流程办事的现象普遍存在。
目前钢铁企业往往由IT部门充当了信息安全管理的主力,但是IT部门不具备对信息价值判断的能力,也不具备对信息安全重要资源的管理职能,最终导致信息安全的工作处于被动状态,信息安全工作的有效性难以得到保障。
2. 人员问题
在人力资源安全方面缺乏从就职前、就职到离岗的全周期人员信息安全管理;缺乏对人员的信息安全系统、机制化的教育和培训;人员自身信息安全意识薄弱,经常出现误操作;对第三方人员的管理薄弱。
3. 系统获取与实施的问题
在信息化的过程中,从不同的软件开发商处购买不同模块是我国大多数钢铁企业信息化建设的模式。随着钢铁企业信息化的迅速推进, 这种模式的弊病越来越明显, 首先, 钢铁企业必须花费大量人力、物力及时间去集成这些来自不同开发商的独立模块, 由于钢铁企业采用的是独立的、非集成的模块, 因而就必须一个个模块由不同的供应商来升级, 升级后必须再一次做集成的工作。而这些操作过程中各类不完善的地方就回给今后在使用过程中带来安全隐患。
在信息系统的规划与建设过程中,由于钢铁企业信息系统接口众多、彼此耦合性很高,更加若对信息系统的安全功能与安全架构考虑欠缺;由于缺乏经验以及赶工时等原因而随意变更;在系统上线之前,钢铁企业容易跨越必要的独立测试过程而直接上线,这都为今后的使用带来了安全隐患。
4. 其他问题
目前多数钢铁企业缺乏完善的信息资产分类与管理。资产管理还主要停留在对财务资产的管理上,信息资产目前处于混乱无序状态。
随着钢铁企业规模的扩大,业务范围的增加,组织结构的变化,各系统间的接口越来越多, 通过建立专用数据接口的方法实现信息集成的难度也逐渐增加,这都是对钢铁企业信息安全的挑战。
在业务连续性方面,钢铁企业在生产方面有生产应急预案,但是往往缺乏有效的信息安全应急预案,有些企业则缺乏必要的容灾备份。
上述问题综合起来导致了钢铁企业信息安全风险的存在,一旦发生生产线瘫痪、主服务器数据丢失或者重要业务信息泄露等事件,则钢铁企业的损失不堪设想!
网友评论