企业信息安全建设存在的问题分析容易

企业信息安全建设存在的问题分析

回顾我国企业信息化的发展，基本上是从无到有，从有到精，从精到强的过程，企业信息安全建设也是伴随着信息化的建设开展的。但整体滞后。目前大多数企业的信息安全建设处于零散实施，查缺补漏的被动防御阶段，在信息安全建设中存在安全管理规范、制度和流程无法落实，安全审计工作不成体系。缺少有效的内控机制，没有形成管控测评制度及测评指标体系，企业很难及时对公司整体信息安全现状作出准确评估，安全防护更多来自被动的事件驱动，缺少信息安全标准、信息安全事件知识库，缺少对流程的梳理与固化，服务响应速度不可控。信息运行工作量化的可视度低，企业安全管理所涉及的制度、规范不健全等诸多问题。

仔细分析上述问题，其中一个重要原因是因为企业的管理者没有正确理解什么是信息安全治理，以及信息安全治理与信息安全管理的主要区别。实际上，两者在工作内容、执行主体和技术深度3个层面有着本质的区别。

信息安全治理是为组织的信息安全运行定义了一个战略性的框架，指明了具体安全管理工作的目标和权责范围，使信息系统安全专业人员能够准确地按照组织高层领导的要求开展工作。企业进行信息安全治理可以带来以下好处：

（1）降低安全风险。满足行业合规性政策强制要求。提升控制和管理能力，阻止安全威胁，避免非法渗透，实现有效的风险管理，降低业务损失。

（2）降低管理复杂度。降低信息基础架构和业务应用系统的安全管理复杂度，提高企业安全管理效率，支持业务未来发展。

安东尼复出后 （3）减少费用。减少信息运维费用，减少信息安全重复投资；降低企业信息总所有成本（TC0），提高企业竞争力。

所以企业要想解决信息安全建设中存在的种种问题，必须开展有效的信息安全治理工作。