返回
供应链信息安全体系的构建

供应链信息安全体系的构建

ID:26405652

大小:50.00 KB

页数:5页

时间:2018-11-26

供应链信息安全体系的构建_第1页
供应链信息安全体系的构建_第2页
供应链信息安全体系的构建_第3页
供应链信息安全体系的构建_第4页
供应链信息安全体系的构建_第5页
资源描述:

《供应链信息安全体系的构建》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、供应链信息安全体系的构建ok3SN等传送、接收文件,容易导致机密泄露和病毒、木马、黑客的攻击。掌握大量机密信息的特权员工,例如数据库管理员、网络管理员、营销主管和技术研发人员容易将掌握的机密信息出售给企业的竞争对手。(3)缺乏信息安全技术与管理人才信息化建设中存在重硬件,轻软件和管理的现象,对信息人才的培养与引进关注不够。为了节约人力成本,往往一个信息安全管理员既要负责系统的配置,又要负责系统安全管理,管理权限过于集中,一旦出现管理员的权限失控或离职等情况,极易导致重要信息泄露。(4)缺乏统一的信息安全战略规划和防范机制许多企业的信息安全措施随

2、意性很强,缺少严格的科学论证,采取的是“贴膏药”式的安全策略,从而引起软硬件安全设备(系统)间防护功能的重叠和弱化,导致管理难度加大,重复投资现象普遍[6]。有些企业经常出现“先业务,后安全”的现象[7],安全管理严重滞后于业务的发展。安全事件发生后才去解决,信息安全人员变成“救火员”,安全建设经常是“亡羊补牢”。(5)供应链企业之间信息的共享与交流存在安全问题供应链各节点企业在合作过程中一再强调依靠信息共享实现双赢,但又都是独立的利益个体,一旦企业之间发生利益冲突,则容易出现的主要问题有:①合作伙伴的逆向选择风险[8]。由于信息不对称,各节点

3、企业形成的“委托—代理”关系往往导致了一种逆向选择的风险。委托方往往比代理方处于更不利的位置,企业往往通过[1][2]下一页阻碍信息共享,增加供应链中信息的不对称,从合作伙伴那里获得更大利益。②供应链节点企业的败德行为。当前我国企业与供应链(网络信息犯罪)相关法律法规不健全的法制环境下,节点企业会利用信息优势而采取一些违背供应链整体利益或者其它成员企业利益的措施。企业会主动或有意将供应链内共享的信息泄露给没用参与共享的企业来获得额外利益。企业成员间还存在欺诈行为,如不法企业利用身份欺骗,以某企业成员的名义,欺骗其他企业成员[9]。诸如此类败德行

4、为如不加控制会降低供应链的服务水准,导致供应链其余节点企业、顾客的不满和利益流失。3供应链信息安全体系框架供应链信息安全系统中的各个安全组件或要素只有整合成为一个整体协同作用时,才能有效保证整体安全管控的目标得以实现。然而,对于我国大多数供应链企业说,信息安全存在上述诸多问题,主要原因是在信息安全建设之初,没有根据供应链整体业务发展的需要确立合理的信息安全需求,导致供应链信息安全架构不合理。供应链信息安全框架旨在为供应链及其节点企业提供一个全面的、自上而下的、结合了国际国内相关安全标准的安全模172型[1]。供应链信息安全框架由企业信息安全治理

5、、信息安全管理、基础安全服务和架构、第三方信息安全服务与认证机构和供应链信息安全技术标准体系五个模块构成。安全治理作为架构的核心内容,是安全管理模块的服务对象,同时,它们也是信息安全策略制定的基础和依据,还是基础安全服务和架构模块中的各个子系统提供选择和建设的依据。基础安全服务和架构模块是信息安全建设技术需求和功能的实现者,是信息安全建设的重要支柱。中间的安全管理模块则通过一系列控制措施,确保基础安全服务功能的实现,最终实现安全治理的要求,满足供应链系统的信息安全需求。供应链信息技术标准体系为供应链和第三方信息安全服务与认证机构提供了标准保障和

6、依据,有利于形成健康法制的第三方信息安全服务市场环境。第三方信息安全服务与认证机构可弥补供应链企业信息安全技术和经验的不足,提供安全托管及信息安全认证服务。4供应链信息安全体系框架的应用供应链信息安全框架参考了众多企业所积累的经验,吸取了供应链信息安全领域的最新理论研究成果。在具体运用中可结合信息安全相关方法论、模型及标准,从企业需求出发,参照供应链信息安全管理框架,通过评估和风险分析等方法,定义供应链及其节点企业安全需求,再根据安全需求定义信息安全建设的内容和方向,如图2所示。图2供应链信息安全体系框架应用。5结论首先分析了我国供应链普遍存在

7、的信息安全问题,主要有:企业员工的信息安全意识淡薄;信息安全管理有章不循现象普遍;缺少信息安全技术与管理人才;缺乏统一的信息安全战略规划和防范机制;合作企业间存在逆向选择风险和各种败德行为等。上述问题阻碍了我国供应链信息安全水平的提高。本文参考了众多企业所积累的经验,吸取了供应链信息安全领域的最新理论研究成果,从信息安全战略、信息安全技术和信息安全管理三方面提出了供应链信息安全框架。在具体运用中可结合信息安全相关方法论、模型及标准,从供应链整体业务需求出发,参照供应链信息安全管理框架,通过评估和风险分析等方法,定义供应链及其节点企业的信息安全需

8、求,据此确定供应链及其节点企业的信息安全建设的内容和方向。需要指出的是,供应链信息安全问题是一个系统工程,其中供应链信息安全标准体系、第三方信息安全服

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。