信息化的中小企业怎样保护自己的信息安全？

信息化的中小企业怎样保护自己的信息安全？

光靠网络安全设备和软件是不够的；人才是信息安全最大的威胁。世界头号黑客Kevin Mitnick 曾说过一句话：“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备，可只要有人给毫无戒心的员工打个电话……”。
谷安天下是专业的信息安全公司，他们那里就有专门针对员工信息安全意识培养的整套解决方案，包括生动有趣的动画，手册，海报等。你可以去他们的网站看看。

是数据库信息安全？ 加密存储可以很好解决。

第一步：确定安全策略 首先弄清楚所要保护的对象。公司是否在运行着文件服务器、邮件服务器、数据库服务器?办公系统有多少客户端、业务网段有多少客户端、公司的核心数据有多少，存储在哪里?目前亚洲地区仍有相当多的公司，手工将关键数据存储在工作簿或账簿上。 第二步：弄清自身需求 1.基本安全需求 2.关键业务系统的安全需求 　　关键业务系统是企业网络应用的核心。 第三步：制定解决方案 1. 网络边缘防护 2. 内部网络行为监控和规范 3. 计算机病毒的监控和清除 4. 用控制台和Web方式管理 5. 可进行日志分析和报表统计 6. 功能模块化组合 当然对于人员的自身培训也是不可或缺的： 汇哲科技为国内唯一一家以信息安全培训与后续服务为主的机构，整体培训重于实践和服务质量的精细、实用，及永久。其讲师均具备信息安全十年以上工作经验，五年以上培训经验，自身长年致力于信息安全培训和服务行业，具备较强的专业培训水平和丰富的培训经验。SPISEC专业、强大的后续服务团队专为学员解决考试、认证、工作实践等问题。并结合多年培训经验，以培训为基础、服务为保障、实践为目的，为业内企业和个人、业内第三方合作伙伴提供优质的培训服务。

个人认为，中小企业不必对信息安全过度夸大，做出适合自己企业的风险评估，规避一定风险，采取一定技术措施配合管理制度，执行PDCA循环过程，逐步改进，逐步提升。没必要一下子就上所有安全设备，所有网络设备，所有保密设备，投资过度。

分步骤来吧。 1、中小企业要看发展到了什么阶段。如果自身管理团队还没成形（还没有形成营销或运营团队以外的独立工作的管理团队），单一要求信息化是没有多大效用的。这表明，企业实际控制人并没有真正意识到管理的意义。这种情况下，做好各种产品和客户的档案信息化、库存与销售记录信息化就可以了。 2、有了明确的管理团队，企业管理者认清了管理的重大意义，有了前期的档案积累可以近一步信息化：erp\sap\crm之类还有工作流lotus notes的都可以了。

麻雀虽小，五脏俱全，小企业和大企业实现信息安全的过程、流程都是差不多的，唯一不同的就是所涉及的范围有大有小而已； 中小企业的信息安全还要以信息化发展战略为基础，根据战略基础制定信息安全方针及风险管理方法。可以参照ISO27001。