中小企业信息安全管理模型

摘 要：一个组织内部的信息系统安全如何解决是一个非常重要的问题，许多企业不知道如何解决本公司的信息安全问 题，当提到信息安全问题时就想到：防火墙、入侵检测和防病毒等技术方法，而不知道如何从组织上和管理上解决信息安全问题。特别是对于中小企业的信息安全对于自身的发展有着举足轻重的意义，由于中小企业规模小，资金少对于信息安全技术的投入有限，就更加应该从组织上和管理上来解决信息安全问题。

关键词：信息安全；管理；中小企业

1 中小企业信息安全现状

在当今经济全球化、竞争自热化和信息技术应用飞速发展的时代，信息化已经成为改善企业管理水平、提高劳动生产率、增强企业核心竞争力的有力武器，企业信息化的核心是企业的各种网络基础没施以及办公、应用系统。大体可以分为生产网，办公网，以及合作伙伴、远程接人、移动办公接入网络等等几个部分。中小企业网络面临的安全威胁主要来自外部和内部人员的恶意攻击和入侵。在网络安全方面，防止内部人员窃取和攻击，以及因其它原因造成企业信息失密，还没有得到中小企业的足够重视。有关调查显示，中小企业从事计算机工作的员工60％以上利用网络处理私人事务。对网络的不正当使用，一方面降低了生产率、阻碍了电脑网络、消耗了企业网络资源，容易引入病毒和间谍，另一方面也使得个别不法员工可以通过网络泄漏企业机密，从而导致企业受到损失。

如何能够满足中小企业信息安全要求，最大限度的保证信息安全，这是很多中小企业必须面对的问题。大多数中小企业对员工的泄密行为，所采取的措施大致有：禁止网络联接；禁止可移动存储器使用；强行拆除光驱、软驱，采购计算机时不采购光驱、软驱等设备；贴封条，定期检查等。或者纯粹依靠员工的责任心、自觉性。通过人治的方法，人为地控制、监督管理，堵住可能泄密的途径和漏洞。这是一种比较传统的保护方式，还不能从本质上解决内部失泄密的问题，早已不能满足企业信息保密的要求。

2 中小企业信息安全管理模型的构建

本文希望能够在研究国内外信息安全理论，模型和框架的基础上，结合中小