哪些是信息安全事故“高危企业?
IT企业依赖信息技术发展生存,在服务的每个环节都面临着数据安全风险,无论是软件开发、数据中心、系统集成还是在线销售(电商)都存在莫大的信息安全隐患。
除此之外,处理大量客户机密信息的企业如金融类、证券类、咨询公司、律师事务所、会计事务所等,更应对信息管理保持高度警惕;保险机构、人才招聘机构、医院诊所和呼叫中心等因业务性质涉及大量个人信息存管,也应当对信息管理有全面的认识。
此外,OEM企业如汽车零部件供应商,和一些拥有专利的高新制造企业(如通讯装备制造企业),因需接收客户保密样品、保密图纸,或掌握需要切实保密的产品信息,也需要系统地管理信息安全。
可见,信息保护不仅对个人而言意义重大,企业也需要建立一套行之有效的信息安全管理体系,最大限度降低信息安全风险所造成的不良影响。
信息安全管理中常见漏洞
不少企业已经意识到信息安全管理的重要性,也开始采取行动,但仍不足以构成一个逻辑严密的信息安全管理体系。
各组织对于信息安全的危害认识不够全面,导致组织各级人员的信息安全意识薄弱,机密信息随意摆放;企业信息安全停留在救火的阶段,等到事故发生时才拿出应急救援方案;另外一点则表现为对不同环节、不同来源信息的管理是独立,而非系统的。
重视硬件设施的投入而忽视管理则是另一个常见的管理漏洞。
许多企业以为花重资投入到防火墙、入侵检测和防病毒软件建设中就可以杜绝IT信息安全事故,而实际上下列三方面的问题,才是灾难的开始:
缺乏对网络安全和应急响应技术层面有管理经验的人员;由于组织的目的是制造收入,所以大部分组织不会花时间构建有效的信息安全管理体系;
大部分组织没有全职人员对信息安全进行管理
当然,有些时候我们也不得不承认,即使信息管理体系有一万点优势,也不如企业的“客户要求”来的急迫。
尤其对于大企业而言,信息安全直接关乎商业机密,除了自身信息安全管理要过关,也要求供应商具备同等的信息安全管理能力。