1 企業(yè)的核心數(shù)據(jù)面臨內(nèi)外兩方面的安全保密隱患

    1．1 缺乏統(tǒng)一管理

    組織里某人或某些人起草的重要文件缺乏集中統(tǒng)一管理：企業(yè)員工的離職，電腦的丟失，有意或無意的刪除操作，或病毒的侵襲造成文件丟失。傳統(tǒng)上，像含有機密財務(wù)數(shù)據(jù)的投融資報告，月度、季度、年度銷售分析報告，財務(wù)分析報告，商業(yè)往來文件和合同，重要內(nèi)部會議的會議紀(jì)要等。這些對一個組織來講非常重要的文件大多是由組織里的某個人或某些人撰寫，保留在個人的電腦里，容易由于有意或者無意的原因造成文件丟失。

    1．2 缺乏有效加密

    很多企業(yè)在文檔和核心數(shù)據(jù)資產(chǎn)的加密方面意識不強，并且沒有有效的加密手段：文件在員工的電腦里可以輕松地通過電子郵箱、移動存儲設(shè)備、通信工具、打印設(shè)備等將文檔原文直接拷貝出來，最終導(dǎo)致信息的泄露。

2 加強文檔數(shù)據(jù)管理的手段

    2．1 建立組織級文檔保護(hù)機制

    一個組織中最難管理的是人員，要管理好企業(yè)的核心文檔首先要管理好這些文檔的管理者。建立一套合理而健全的機制，是具有關(guān)鍵意義的做法。組織內(nèi)信息安全制度的建立，往往比購買設(shè)備、提高技術(shù)還重要。國外信息安全管理的經(jīng)驗表明，大多數(shù)的攻擊來自系統(tǒng)內(nèi)部，并且外部可利用內(nèi)部進(jìn)行攻擊。而對內(nèi)部攻擊的防范比對外部攻擊的防范更困難。防范內(nèi)部的安全攻擊，管理措施(行政的和法律的)顯得更為重要。建立并執(zhí)行一整套科學(xué)、合理、嚴(yán)密的管理制度，從每一個環(huán)節(jié)堵塞電子文檔信息安全的漏洞，這些環(huán)節(jié)包括從電子文件形成、處理、傳輸、收集、積累、整理、歸檔，到電子檔案的保管、提供利用的全過程，即要進(jìn)行全過程管理，任何一個環(huán)節(jié)疏于管理，都有可能導(dǎo)致電子文檔信息的丟失或失真。加強對電子文件制作人員和管理人員的管理；電子文件制作過程要職責(zé)分明；電子文件形成后要及時積累；建立和執(zhí)行科學(xué)的歸檔制度；制定和嚴(yán)格執(zhí)行電子文檔的鑒定、保管制度和標(biāo)準(zhǔn)；加強對電子文檔利用活動的管理；建立電子文檔管理的記錄系統(tǒng)等。

    2．2 利用數(shù)據(jù)安全保護(hù)軟件加強文檔管理

    (1)加強訪問控制

    訪問控制是網(wǎng)絡(luò)環(huán)境下電子文檔信息安全防范和保護(hù)的主要措施和手段，它的主要任務(wù)是保證包括電子文檔信息在內(nèi)的網(wǎng)絡(luò)資源不被非法訪問和非法使用。具體措施包括：入網(wǎng)訪問控制，控制組織內(nèi)的用戶是否用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶的訪問時間和準(zhǔn)入范圍；權(quán)限控制，控制用戶允許訪問哪些目錄、子目錄、文件和其他資源；指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作，如只讀、改寫、創(chuàng)建、刪除、查找、存取控制等，而最基本的控制是防止電子文檔的拷貝篡改和打印；

    (2)數(shù)據(jù)加密

    信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息的傳輸，確保不宜公開的電子文檔的非公開性。在多數(shù)情況下，信息加密是保證電子文檔機密性的唯一方法。如果有權(quán)使用受控文件的內(nèi)部人士將受控文件通過郵件，聊天工具，u盤等任何方式傳遞給第三者，第三者打開文件看到的是亂碼，確保信息不被泄露。

    (3)文檔備份

    由于網(wǎng)絡(luò)的不安全性，導(dǎo)致電子文檔信息易丟失或失真，給信息安全帶來嚴(yán)重威脅。盡管可以采取各種各樣的技術(shù)和方法來保證網(wǎng)絡(luò)的安全，但客觀地說，任何一個網(wǎng)絡(luò)都不能確保萬無一失，信息丟失和失真的現(xiàn)象難免不會發(fā)生。如果建立備份與恢復(fù)系統(tǒng)，即使信息丟失和失真，也能夠做到有備無患，只要啟動該系統(tǒng)，丟失或失真的信息就會重新恢復(fù)原來的面貌。

    (4)事后跟蹤

    企業(yè)在加強管控的同時還應(yīng)注意文檔泄露后的跟蹤管理。應(yīng)該準(zhǔn)備好正常的事件報告和分類程序，這類程序用來報告可能對機構(gòu)的財產(chǎn)安全造成影響的不同種類的事件和弱點，所有的員工、合同方和第三方用戶都應(yīng)該知曉這套報告程序。他們需要盡可能快地將文檔泄露事件和弱點報告給指定的聯(lián)系方。組織應(yīng)明確信息安全事故報告的方式、報告的內(nèi)容、報告的受理部門， 即安全事件應(yīng)在被發(fā)現(xiàn)之后盡快由適當(dāng)?shù)氖芾硗緩竭M(jìn)行通報。應(yīng)當(dāng)盡可能快速地通過適當(dāng)管理渠道來報告安全事故。組織的普通員工通常是安全事件的最早發(fā)現(xiàn)者，如果安全事件能及時發(fā)現(xiàn)并報告相應(yīng)的主管部門，作出及時的處理，能使組織的經(jīng)濟(jì)損失及聲譽損失降到最低。為及時發(fā)現(xiàn)安全事件，組織應(yīng)建立正式的報告程序，分別對安全事故的報告作出明確規(guī)定。應(yīng)當(dāng)讓所有員工和第三方的簽約人都了解報告程序并鼓勵他們在安全事件發(fā)生的第一時間就盡快報告。還應(yīng)當(dāng)建立起事故反應(yīng)機制，以便在接到事故報告時，有關(guān)部門能及時采取措施。應(yīng)當(dāng)建立適當(dāng)?shù)姆答仚C制，確保在處理完事故之后，使員工能夠知道所報告事故的處理結(jié)果。同時可以用這些事故來提高用戶的安全意識，使他們了解發(fā)生了什么情況、對這種情況怎樣做出反應(yīng)并且將來如何避免這些事故。針對不同的類型的安全事件，作出相應(yīng)的應(yīng)急計劃，規(guī)定事件處理步驟。

3 結(jié)論

    企業(yè)核心文檔的安全保密工作關(guān)系到企業(yè)的核心競爭力和可持續(xù)發(fā)展水平，加強保密工作、建立有效的防范機制、提高員工的保密意識、利用系統(tǒng)手段進(jìn)行文檔管理是全面提高保密管理能力的有效途徑。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：淺析企業(yè)核心文檔保密管理

本文網(wǎng)址：http://www.guhuozai8.cn/html/support/1112152525.html