企业信息安全建设存在的问题分析

    回顾我国企业信息化的发展，基本上是“从无到有，从有到精，从精到强”的过程，企业信息安全建设也是伴随着信息化的建设开展的。但整体滞后。目前大多数企业的信息安全建设处于“零散实施，查缺补漏”的被动防御阶段，在信息安全建设中存在安全管理规范、制度和流程无法落实，安全审计工作不成体系。缺少有效的内控机制，没有形成管控测评制度及测评指标体系，企业很难及时对公司整体信息安全现状作出准确评估，安全防护更多来自被动的事件驱动，缺少信息安全标准、信息安全事件知识库，缺少对流程的梳理与固化，服务响应速度不可控。信息运行工作量化的可视度低，企业安全管理所涉及的制度、规范不健全等诸多问题。

    仔细分析上述问题，其中一个重要原因是因为企业的管理者没有正确理解什么是信息安全治理，以及信息安全治理与信息安全管理的主要区别。实际上，两者在工作内容、执行主体和技术深度3个层面有着本质的区别。

    信息安全治理是为组织的信息安全运行定义了一个战略性的框架，指明了具体安全管理工作的目标和权责范围，使信息系统安全专业人员能够准确地按照组织高层领导的要求开展工作。企业进行信息安全治理可以带来以下好处：

    （1）降低安全风险。满足行业合规性政策强制要求。提升控制和管理能力，阻止安全威胁，避免非法渗透，实现有效的风险管理，降低业务损失。

    （2）降低管理复杂度。降低信息基础架构和业务应用系统的安全管理复杂度，提高企业安全管理效率，支持业务未来发展。

    （3）减少费用。减少信息运维费用，减少信息安全重复投资；降低企业信息总所有成本（TC0），提高企业竞争力。

    所以企业要想解决信息安全建设中存在的种种问题，必须开展有效的信息安全治理工作。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。