中小企業(yè)不僅在信息安全技術(shù)與大企業(yè)有較大的差距，更重要的是信息安全管理狀況也不容樂觀，普遍有重視安全技術(shù)，輕視安全管理的現(xiàn)象存在。國家發(fā)展改革委中小企業(yè)司在年前曾發(fā)表一項《二零零六年中國中小企業(yè)信息化調(diào)查報告》, 結(jié)果顯示有80%的被訪中小企業(yè)只配有5名以下的信息技術(shù)人員。隨著全球信息化的發(fā)展，信息安全對中小企業(yè)將會變得越加重要, 其內(nèi)部組織管理、相關(guān)技術(shù)力量卻任然薄弱。總結(jié)我國中小企業(yè)信息安全安全問題的原因主要有一些幾個方面：

1、信息安全管理意識不強。

相對大型企業(yè)來說，中小企業(yè)信息資產(chǎn)方面的積累相對較為薄弱，并且很多時候這種積累并非企業(yè)的有意識行為，所以在正常的信息化應(yīng)用情況下，往往會忽視對自己信息資產(chǎn)的保護，而只有在信息資產(chǎn)受到破壞，形成了實際的經(jīng)濟和附加損失的情況下，才會開始意識和重視這信息安全問題，可以說，這種中小企業(yè)的信息資產(chǎn)管理現(xiàn)狀，是造成中小企業(yè)信息安全問題的主要內(nèi)因之一。受社會文化環(huán)境等綜合因素的影響，國人往往對于安全防范存在一種惰性和漠視，而聯(lián)系到實際，中小企業(yè)員工甚至管理者普遍都存在著安全意識薄弱的問題，例如：在實施信息安全項目的過程中，經(jīng)?？梢杂龅狡髽I(yè)員工安裝公司不允許使用的軟件、中止安裝在自己個人電腦上的安全產(chǎn)品客戶端等諸如此類的事件，造成這些問題的原因是多種多樣的，但發(fā)生這種情況的最核心因素，是這些員工沒有足夠的信息安全意識，他們往往因為自己的便利而違反信息安全規(guī)章，也往往意識不到自己的這種行為，會將其他同事甚至整個企業(yè)的信息資產(chǎn)推向危險的境地。這給我們一個最重要的啟示：安全設(shè)施的建立只是企業(yè)信息安全的第一步，而如何在構(gòu)建完成的信息安全體系中有效徹底的貫徹事先制訂的信息安全策略以及不斷提高企業(yè)的全員信息安全意識是信息安全管理工作工作更重要的部分。要達到這樣的目標，需要企業(yè)決策層的大力支持、定期實施安全培訓(xùn)教育以及定期評估和調(diào)整安全政策，這樣才能保證企業(yè)安全體系處于積極活躍的健康狀態(tài)。

2、信息安全管理水平較低信息安全風(fēng)險較大。

目前的中小企業(yè)管理層人員雖然已經(jīng)認識到了信息化的重要性，但卻沒有認識到企業(yè)信息化管理是需要在企業(yè)管理念上進行根本變革才能實現(xiàn)的。雖然有一些中小企業(yè)采用了現(xiàn)代通信、計算機、網(wǎng)絡(luò)技術(shù)來構(gòu)建信息系統(tǒng)，以提高企業(yè)的效率與競爭能力，但相應(yīng)的管理措施沒有到位，如系統(tǒng)的運行、開發(fā)等崗位不清、維護、職責(zé)不分，經(jīng)常一人身兼數(shù)職。信息安全大約70%以上的問題都是由管理方面的原因造成的。他們大多是按照原有的管理模式進行改造，結(jié)果造成一種信息化的假象，致使“信息化”走向了徒有其表的誤區(qū)，信息安全也沒有得到足夠重視。

3、人才短缺專業(yè)人員匱乏。

中小企業(yè)一般很難有足夠的吸引力留住信息化及信息安全這一領(lǐng)域的人才。因此，在這種人才短缺的情況下，自然影響到企業(yè)信息化的進程。主要表現(xiàn)為：企業(yè)一般沒有自己的信息化建設(shè)人才隊伍。

信息技術(shù)專業(yè)人員的知識結(jié)構(gòu)也不能達到要求，掌握技術(shù)的不懂管理，懂管理的又不會技術(shù)，而且信息安全往往沒有專業(yè)人員進行管理。

客觀的說信息安全領(lǐng)域的知識和技能在信息技術(shù)領(lǐng)域應(yīng)歸類于高階層面，因為信息安全從業(yè)人員不只縱向上要對各項工作有精深的理解，橫向上還需要對信息系統(tǒng)的整體邏輯乃至企業(yè)的業(yè)務(wù)邏輯有深刻的認知，特別對于信息安全管理的經(jīng)驗有很高的要求，這從很大程度上造成了中小企業(yè)難以具備足夠的技術(shù)力量來保障信息安全設(shè)施的運轉(zhuǎn)；其實拋開信息安全技術(shù)力量儲備不論，即使是應(yīng)用層面的信息技術(shù)力量，在中小企業(yè)中也經(jīng)常出現(xiàn)不敷使用的情況，即使很多較大規(guī)模的中型企業(yè)，往往也只能做到保證有專人負責(zé)信息化工作而已，而越向更小規(guī)模的企業(yè)探究，愈會發(fā)現(xiàn)這種技術(shù)力量不足的情況所造成影響，而且在沒有專職信息技術(shù)人員的情況下，信息化事務(wù)所需要的時間和資源往往與公司正常業(yè)務(wù)運營發(fā)生正面沖突，使實際情況更趨惡化，而且這個問題往往會造成惡性循環(huán)，即信息安全專業(yè)人員的缺乏，不僅造成了信息安全理念的傳播無法形成內(nèi)部源頭，也導(dǎo)致了在評估投入時難于做出正確決策。

4、資金短缺。

中小企業(yè)的資金狀況決定了其信息化投入遇到的限制相對較多。企業(yè)相對有限的資金，一般要優(yōu)先投入到直接促進公司業(yè)績增長的方向，而無形中就造成了信息資產(chǎn)所面臨的巨大風(fēng)險；特別是在當今越來越多的企業(yè)業(yè)務(wù)與互聯(lián)網(wǎng)有密切的聯(lián)系，甚至一些企業(yè)的業(yè)務(wù)完全建立在互聯(lián)網(wǎng)之上，以平均不到企業(yè)總收入1%的信息安全投入，怎么能保障這些業(yè)務(wù)的正常運行？雖然中小企業(yè)不可能動輒拿出幾十萬乃至上百萬的資金用于信息安全系統(tǒng)建設(shè)，但還是應(yīng)該針對自身情況，盡可能使投入比例接近常規(guī)，至少應(yīng)該使企業(yè)核心信息資產(chǎn)的安全得到保證，從實際情況來講，在良好的安全理念指導(dǎo)下，進行細致的規(guī)劃和評估，通過適當?shù)耐度胍彩强梢赃_到較好的整體效果，因為在中小企業(yè)的應(yīng)用情境下，信息安全防御廣度是相對容易控制的；中小企業(yè)對信息安全產(chǎn)品的要求也不是簡約版產(chǎn)品這么簡單，在達到基本性能和功能要求的基礎(chǔ)之上，還需要充分考慮中小企業(yè)的應(yīng)用方式及習(xí)慣，設(shè)計出體現(xiàn)其規(guī)律和特點的真正適合中小企業(yè)的信息安全產(chǎn)品，才能從根本上滿足中小企業(yè)信息安全需求。另外不得不重申的是，購置安全產(chǎn)品僅僅只是企業(yè)信息安全工作的步驟之一，我們不能只將眼光放在產(chǎn)品的選擇上，相關(guān)的安全政策制訂、培訓(xùn)計劃的選擇以及實施等問題也是信息安全投入不可或缺的組成部分，這些“軟性投入”對企業(yè)信息安全的影響往往更加深遠，更加需要企業(yè)決策者仔細考量，因為在投入受限的情況下，往往會造成決策層只注重硬件設(shè)施投入而不注重管理實施的開展，以及將有限的投入花費在局部問題上，從而造成信息安全“短板效應(yīng)”，進而無法保證信息安全設(shè)施的完整性，最終造成信息安全實施的失敗。

5、中小企業(yè)的信息倫理意識不強。

由于某些員工的信息倫理原因而帶來的信息安全問題屢見不鮮。在很多時候，企業(yè)的員工都會因為某些不經(jīng)意的行為對企業(yè)的信息資產(chǎn)造成破壞。尤其是在中小企業(yè)中員工的信息安全意識往往相對比較落后，對于互聯(lián)網(wǎng)上存在的威脅往往缺乏足夠的重視，而企業(yè)的管理層對于網(wǎng)絡(luò)的使用也沒有很好的管理手段。因此，員工對企業(yè)網(wǎng)絡(luò)的誤用濫用行為常使安全情況更加惡化，誤用濫用網(wǎng)絡(luò)帶來了惡意攻擊、企業(yè)機密數(shù)據(jù)泄露、感染病毒木馬、員工工作效率大幅下降等問題。

從上述分析可以看出企業(yè)不但要重視外來防范, 更要注意內(nèi)部的信息安全保護。企業(yè)的信息安全包括安全策略、技術(shù)、管理等等復(fù)雜的因素, 而非技術(shù)、產(chǎn)品就能解決的。中小企業(yè)的信息安全保護, 需要一整套從內(nèi)部核心到邊界再到邊界外的完整的信息安全管理機制。由于中小企業(yè)自身規(guī)模小、資金有限,安全建設(shè)需要特別考慮經(jīng)濟問題, 力求成本低、可靠性高和實用性強的安全解決方案。

ISO27001是一套全面嚴謹?shù)男畔踩芾眢w系，旨在幫助各種不同類型和規(guī)模的組織實施并運行有效的信息安全管理，從而增強企業(yè)識別、防止、減少和控制組織信息安全風(fēng)險的能力。中小企業(yè)也可以運用 ISO27001信息安全管理系統(tǒng)的一些方法和措施提高自己的信息安全管理水平。

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商，法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202008/ccaa_5545.html