论文摘要
信息安全是信息化时代企业生存并发展壮大的保障,安全的理念不仅仅与IT系统相关,它应该贯穿企业各个业务流程,涉及每个部门每一个人,关系到所有的业务系统及业务数据。作为信息安全领域重要的分支,身份管理对于企业有着特别重要的意义。身份及其信息资源是企业最有活力的战略资源,它包含了客户、员工、合作伙伴及供应商,加上企业内特定的有访问其他资源需求的流程与服务。如何管理好企业身份资源并充分发挥企业战略资源优势,是当今企业全球化过程中面临的一个重大挑战。现今,身份管理市场发展迅速,客户投入增长迅猛,新的技术、标准和产品不断推陈出新,竞争日益激烈,市场份额逐渐集中到少数几家大厂商手中。然而身份管理仍然被看作是企业IT部门的职责,相当多的客户甚至是厂商认为只要上了相应的身份管理系统就可以将企业最为重要的身份资源管理好,部署了PKI等访问控制系统就可以保障企业的信息系统安全。然而根据安全专业组织Burton Group的研究,企业面临着日益增加的来自企业内部的因管理不善控制不当所导致的安全风险以及与合作伙伴日益紧密合作导致的安全风险。同时,各国政府对企业也提出了一系列最新的合规要求如萨班斯法案等,企业必须加强内部控制及审计以防范来自企业内部和外部的安全威胁。本论文将企业信息系统的安全管理、企业战略资源管理与公司治理统一起来,从战略高度研究如何建立企业身份管理模型,并针对中国企业实际探讨可行的实施方案。文中建议企业设置专门的组织机构来管理对于企业而言极端重要的身份资源,加强身份信息的管理,通过对安全风险的评估与管理,权力关系及权限的分配,审批流程的制定,规则及策略的设置以及持续合规的监控,建立起完善的身份管理模型,并采用适合的部署实施方案,以保障企业的安全高效的持续发展。