试论企业信息安全的管理活动和管理策略

　　三、相关的建议和策略 
　　针对企业信息安全的问题，文章运用管理学的理论进行论述。企业管理涉及四个功能：计划、组织、领导、控制 。 
　　1.从计划的角度来看：企业应当确立信息安全的发展战略，从战略的高度来对待和管理信息安全，确保信息安全所引发的风险达到可以接受的范围之内。从全局角度制定信息安全的策略，确立信息安全的目标，以及实现目标需要的行动方案。 
　　2.从组织的角度来看：人力资源的管理的观点认为，企业的组织结构，取决于组织战略 。在许多企业组织结构中，只有技术部门，没有信息安全管理部门。S.H.(basie) von Solms 曾讨论过，技术管理与安全管理两个部门必须设置成为两个独立的部门，否则无法保证安全评估的客观性。因此有必要设置一个专门负责信息安全管理的部门，这个部门并不负责具体的技术，但是要懂技术，主要是开展企业的安全培训工作、日常的安全管理工作、对存在的风险进行评估，最大限度地降低安全风险。 
　　3.从领导的角度来看：根据wilde的风险平衡理论，一个人会愿意承担一定程度的风险。 “风险平衡”观念会让整个机构处于盲目乐观的过度自信状态，不管是企业的员工还是管理者都倾向于追求效率 ，从而忽视信息安全的投入。 
　　在企业的管理过程中，应当加强信息安全、风险意识方面的培训和教育，增进员工与技术人员的面对面的沟通与交流，开展有效的安全意识活动。 
　　4.从控制的角度来看：对风险的控制要求企业对自己的安全状况不断评估，时时防范。这就要求安全管理部门每隔一定时间向上汇报信息安全的进展情况，定期进行风险评估工作。 
　　文章从管理学的角度来分析信息安全风险管理，对信息安全问题做了实地调查，分析了目前信息安全存在的一些问题，并对存在的问题的根源进行了深入的分析，最后文章运用管理学的理论，从计划、组织、领导、控制四个角度出了相应的建议和策略。 
　　 
　　参考文献： 
　　[1]Wilde GJS.The theory of risk homeostasis: implications for safety and health. Risk Analysis 1982;2(04):209-25. 
　　[2]秦志华.企业管理[M].大连:东北财经大学出版社,2011,1. 
　　[3]廖三余,曹会勇.人力资源管理[M].北京:清华大学出版社,2011,9. 
　　[4]S.H.(basie) von Solms Information Security Governance-Compliance management vs operational management Computer&Security(2005):24,443-447. 
　　[5]Eirik Albrechtsen A qualitative study of users’ view on information security computers&security 26(2007):276-289.