我国中小企业信息安全管理问题的原因分析

中小企业不仅在信息安全技术与大企业有较大的差距，更重要的是信息安全管理状况也不容乐观，普遍有重视安全技术，轻视安全管理的现象存在。国家发展改革委中小企业司在年前曾发表一项《二零零六年中国中小企业信息化调查报告》, 结果显示有80%的被访中小企业只配有5名以下的信息技术人员。随着全球信息化的发展，信息安全对中小企业将会变得越加重要, 其内部组织管理、相关技术力量却任然薄弱。总结我国中小企业信息安全安全问题的原因主要有一些几个方面：

1、信息安全管理意识不强。

相对大型企业来说，中小企业信息资产方面的积累相对较为薄弱，并且很多时候这种积累并非企业的有意识行为，所以在正常的信息化应用情况下，往往会忽视对自己信息资产的保护，而只有在信息资产受到破坏，形成了实际的经济和附加损失的情况下，才会开始意识和重视这信息安全问题，可以说，这种中小企业的信息资产管理现状，是造成中小企业信息安全问题的主要内因之一。受社会文化环境等综合因素的影响，国人往往对于安全防范存在一种惰性和漠视，而联系到实际，中小企业员工甚至管理者普遍都存在着安全意识薄弱的问题，例如：在实施信息安全项目的过程中，经常可以遇到企业员工安装公司不允许使用的软件、中止安装在自己个人电脑上的安全产品客户端等诸如此类的事件，造成这些问题的原因是多种多样的，但发生这种情况的最核心因素，是这些员工没有足够的信息安全意识，他们往往因为自己的便利而违反信息安全规章，也往往意识不到自己的这种行为，会将其他同事甚至整个企业的信息资产推向危险的境地。这给我们一个最重要的启示：安全设施的建立只是企业信息安全的第一步，而如何在构建完成的信息安全体系中有效彻底的贯彻事先制订的信息安全策略以及不断提高企业的全员信息安全意识是信息安全管理工作工作更重要的部分。要达到这样的目标，需要企业决策层的大力支持、定期实施安全培训教育以及定期评估和调整安全政策，这样才能保证企业安全体系处于积极活跃的健康状态。

2、信息安全管理水平较低信息安全风险较大。

目前的中小企业管理层人员虽然已经认识到了信息化的重要性，但却没有认识到企业信息化管理是需要在企业管理念上进行根本变革才能实现的。虽然有一些中小企业采用了现代通信、计算机、网络技术来构建信息系统，以提高企业的效率与竞争能力，但相应的管理措施没有到位，如系统的运行、开发等岗位不清、维护、职责不分，经常一人身兼数职。信息安全大约70%以上的问题都是由管理方面的原因造成的。他们大多是按照原有的管理模式进行改造，结果造成一种信息化的假象，致使“信息化”走向了徒有其表的误区，信息安全也没有得到足够重视。

3、人才短缺专业人员匮乏。

中小企业一般很难有足够的吸引力留住信息化及信息安全这一领域的人才。因此，在这种人才短缺的情况下，自然影响到企业信息化的进程。主要表现为：企业一般没有自己的信息化建设人才队伍。

信息技术专业人员的知识结构也不能达到要求，掌握技术的不懂管理，懂管理的又不会技术，而且信息安全往往没有专业人员进行管理。

客观的说信息安全领域的知识和技能在信息技术领域应归类于高阶层面，因为信息安全从业人员不只纵向上要对各项工作有精深的理解，横向上还需要对信息系统的整体逻辑乃至企业的业务逻辑有深刻的认知，特别对于信息安全管理的经验有很高的要求，这从很大程度上造成了中小企业难以具备足够的技术力量来保障信息安全设施的运转；其实抛开信息安全技术力量储备不论，即使是应用层面的信息技术力量，在中小企业中也经常出现不敷使用的情况，即使很多较大规模的中型企业，往往也只能做到保证有专人负责信息化工作而已，而越向更小规模的企业探究，愈会发现这种技术力量不足的情况所造成影响，而且在没有专职信息技术人员的情况下，信息化事务所需要的时间和资源往往与公司正常业务运营发生正面冲突，使实际情况更趋恶化，而且这个问题往往会造成恶性循环，即信息安全专业人员的缺乏，不仅造成了信息安全理念的传播无法形成内部源头，也导致了在评估投入时难于做出正确决策。

4、资金短缺。

中小企业的资金状况决定了其信息化投入遇到的限制相对较多。企业相对有限的资金，一般要优先投入到直接促进公司业绩增长的方向，而无形中就造成了信息资产所面临的巨大风险；特别是在当今越来越多的企业业务与互联网有密切的联系，甚至一些企业的业务完全建立在互联网之上，以平均不到企业总收入1%的信息安全投入，怎么能保障这些业务的正常运行？虽然中小企业不可能动辄拿出几十万乃至上百万的资金用于信息安全系统建设，但还是应该针对自身情况，尽可能使投入比例接近常规，至少应该使企业核心信息资产的安全得到保证，从实际情况来讲，在良好的安全理念指导下，进行细致的规划和评估，通过适当的投入也是可以达到较好的整体效果，因为在中小企业的应用情境下，信息安全防御广度是相对容易控制的；中小企业对信息安全产品的要求也不是简约版产品这么简单，在达到基本性能和功能要求的基础之上，还需要充分考虑中小企业的应用方式及习惯，设计出体现其规律和特点的真正适合中小企业的信息安全产品，才能从根本上满足中小企业信息安全需求。另外不得不重申的是，购置安全产品仅仅只是企业信息安全工作的步骤之一，我们不能只将眼光放在产品的选择上，相关的安全政策制订、培训计划的选择以及实施等问题也是信息安全投入不可或缺的组成部分，这些“软性投入”对企业信息安全的影响往往更加深远，更加需要企业决策者仔细考量，因为在投入受限的情况下，往往会造成决策层只注重硬件设施投入而不注重管理实施的开展，以及将有限的投入花费在局部问题上，从而造成信息安全“短板效应”，进而无法保证信息安全设施的完整性，最终造成信息安全实施的失败。

5、中小企业的信息伦理意识不强。

由于某些员工的信息伦理原因而带来的信息安全问题屡见不鲜。在很多时候，企业的员工都会因为某些不经意的行为对企业的信息资产造成破坏。尤其是在中小企业中员工的信息安全意识往往相对比较落后，对于互联网上存在的威胁往往缺乏足够的重视，而企业的管理层对于网络的使用也没有很好的管理手段。因此，员工对企业网络的误用滥用行为常使安全情况更加恶化，误用滥用网络带来了恶意攻击、企业机密数据泄露、感染病毒木马、员工工作效率大幅下降等问题。

从上述分析可以看出企业不但要重视外来防范, 更要注意内部的信息安全保护。企业的信息安全包括安全策略、技术、管理等等复杂的因素, 而非技术、产品就能解决的。中小企业的信息安全保护, 需要一整套从内部核心到边界再到边界外的完整的信息安全管理机制。由于中小企业自身规模小、资金有限,安全建设需要特别考虑经济问题, 力求成本低、可靠性高和实用性强的安全解决方案。

ISO27001是一套全面严谨的信息安全管理体系，旨在帮助各种不同类型和规模的组织实施并运行有效的信息安全管理，从而增强企业识别、防止、减少和控制组织信息安全风险的能力。中小企业也可以运用 ISO27001信息安全管理系统的一些方法和措施提高自己的信息安全管理水平。