第四章  大数据时代计算机信息处理安全问题研究




              续，二级安全策略制定处于停滞中。另外在终端安全管理策略制定方面，因公司
              使用的终端繁多，策略制定工作的优先级相对较低，导致策略制定迟迟没有落地。
              安全设备选型方面，对于选取国外还是国内安全产品没有一个统一的标准，在产

              品选择方有很大的随机性，导致选择了多家厂商的安全产品，增加运维的成本和
              难度。随着新冠疫情的到来，公司很多新增业务优先选择在云端部署，业务走在
              了安全策略的前端，计算机信息安全部门没有能够及时根据业务的发展制定针对

              云端计算机信息安全的策略。
                  三级策略牵涉具体的流程和操作手册。随着企业在业务方面的发展，引入业
              务支撑的信息系统越来越多，由于人手的短缺，很难在引入系统的同时，又能及

              时完成操作手册及实施手册的编写。这也导致部分因为操作不当导致的业务系统
              中断事件。
                  （二）计算机信息安全组织职责界定存在偏差
                  对 A 公司在计算机信息安全组织方面存在的问题进行总结：安全决策组织

              未履行其职责；安全管理制度没有有效落实。
                  在计算机信息安全组织决策组织方面，其职责履行是有问题的，计算机信息

              安全的决策职责是由信息部的安全部一个部门代为履行。出现这种情况的原因之
              一是公司成立之初，信息部安全部承担了公司绝大部分的计算机信息安全相关的
              工作，公司高层，包括其他部门都认为安全部应该作为决策组织。这点也恰恰说
              明了高层和其他部门对于计算机信息安全管理的认识是有偏差的，计算机信息安

              全管理不是一个人，也不是一个部门的事情，而是需要全员参与，公司最高层支
              持。二是高层对于计算机信息安全管理的重视程度不高。安全部拟定的重大计算

              机信息安全项目，计算机信息安全规划，长期计算机信息安全目标等一系列关乎
              公司层面的决策决议会呈报至公司高层，但公司高层对于决策的提议评判的标准
              只关心是否超预算，对于是否与公司业务发展的关联和影响是不做评估的，对于
              提出的重大决策建议判断的标准单一，这也导致公司整体计算机信息安全策略的

              制定上是有偏差的。三是安全部作为三级部门本身的局限性，安全部的人员多数
              为专业计算机信息安全领域的专家，更注重在计算机信息安全的维度，对于管理

              的认知存在巨大的局限性，很容易造成技术导向的决策产生，这也使很多决策建
              议并不能从业务的维度、公司整体发展维度去建议。


                                                                                  ·143·