技术与管理并重

摘 要信息作为企业的重要资产,需要得到妥善保护。随着信息技术的发展,许多信息安全问题也纷纷出现。作为相对独立的建设内容，信息安全体系在近几年才得到了越来越多的关注。很多企业认识到,解决信息安全问题的根本方法在于识别信息安全的风险,建立一个系统的的信息安全体系。在构成信息安全体系的要素中，技术和管理同样起着决定性作用。本文详细介绍了信息安全管理体系的组成环节和实施内容，并在文中指出，企业应该以技术体系来促进管理，以管理体系来完善技术，而不是用某一种来弱化甚至替代另外一种。

关键词信息安全 技术体系 管理体系

中图分类号：TB497文献标识码： A 文章编号：

前言

企业的正常运作离不开信息资源的支持，企业信息化系统作为管理企业信息资源的电子化工具和企业实力的重要组成部分，在促进企业规范管理流程、提高生产效率的同时，在运行中累积的包括企业的经营计划、知识产权、生产工艺、流程配方、方案图纸、客户资源等各种重要数据成为部门、企业的宝贵资产，关乎着企业的生存与发展。这些数据一旦损坏、丢失、泄漏或篡改，则会给企业带来重大安全影响。

企业要保持健康可持续性发展，信息安全是基本的保证之一。为确保信息资产安全，很多企业都制定了“硬件备份、分权分域、多层防御、等级防护”等等信息安全技术目标，并且逐步落实。与此同时，还应该清醒地认识到，技术体系达到先进水平，并不意味着企业的信息安全整体水平也是同步发展的；而必须建设和落实与之相适配的信息安全管理体系，并将其逐步纳入到企业的各级安全生产管理当中。

信息安全风险和措施概述

企业信息化系统在为企业带来提高工作效率和管理水平、增强竞争能力等益处的同时，也为企业带来了信息安全风险；而且信息安全风险与信息化水平和应用范围的提高与扩大同步增长。

（1）接入和访问方式多样化带来全网性风险

U盘、便携电脑、无线网卡、智能手机的普及加剧了病毒、蠕虫和间谍软件等普遍存在的信息安全威胁，而且对网络、系统、应用、信息的破坏程度和范围持续扩大。

（2）来自外网的攻击始终存在，攻击方式向更高阶段演化

和其他企业网一样，企业的信息化系统也一直面临着来自Internet和其他第三方对接网络的外在威胁，并且很容易跨域突现。在攻击手段上，攻击者已经从以往直接针对网络和系统的普遍攻击，转向了对更高层次的Web应用、信息数据的重点攻击。

（3）安全意识和相关培训不到位

职工信息安全培训普及和素质培养方面却没有形成一个长效机制，信息安全意识不均衡情况也普遍存在。

（4）信息安全管理体系尚未成熟

在信息安全保障体系中，企业普遍存在过于依赖于技术保障，而管理保障和制度执行相对薄弱等问题。大多数企业的信息安全管理体制还是沿袭传统组织架构，并没有咨询过专业安全公司在信息安全管理体系建设上的意见，仍由档案部门、调度部门兼职负责，而没有设置专门的信息安全部门，从而造成管理体系不健全，责任不清晰等问题。

信息安全管理体系的主要环节

从业内最佳安全实践来看，要想建立完善可行的信息安全管理体系，就要使之贯穿于整个企业信息安全建设和保障过程。一般说来，信息安全管理体系包括以下6个主要环节：

（1）信息风险评估程序：其目的是为了在企业、组织内部建立一套适合自身具体情况的信息风险评估机制，明确信息风险评估由谁来做、怎么做、做什么、重点解决什么等问题。这一环节有助于相关部门了解有哪些威胁会对企业信息真正造成影响、风险水平该如何确定。

（2）信息安全计划：它是在信息风险评估的基础上，结合企业的宏观安全战略与现实情况得出的，明确了信息安全工作应该“做什么”和“什么时候做”。

（3）项目管理：无论安全工作是内部人员来完成还是与专业安全公司协作来完成，每一项信息安全工作都可以视为一个安全项目。所以，还应充分考虑项目管理的各个阶段（发起、启动、计划、执行、控制、收尾）需要关注的问题和存在的风险。

（4）运行维护和培训：对企业信息的运行维护监控过程大部分是程序化和其他一些较为细碎的工作。同是，除了执行命令、填写表单以外，还需要通过各类培训教育让各级职工，尤其是掌握核心业务数据的岗位人员时刻保持风险预警意识。

（5）信息安全审计：其主要目的就是建立一个长效机制，明确对信息系统及其数据和信息的检查周期、审计方式、评审制度等内容，确保能够及时发现和弥补信息安全管理漏洞和缺陷。

（6）持续改进计划：为了应对不断变化的信息安全威胁和不断严格的合规性要求，从根本上解决信息安全问题，企业、组织需要对信息安全过程、方法、程序、操作指南持续改进。

图1 信息安全管理体系环节构成示意图

信息安全管理体系的实施内容

从当前来看，信息安全管理体系的实施内容主要包括信息安全管理制度和信息安全操作流程组成，二者各司其职，又互为补充。

首先，信息安全管理制度主要是公司的相关部门根据自身的管理职能，针对各种与信息安全管理有关的资源制定的相关要求、政策。管理制度通常由相应的部门进行归口管理和解释，是职能化、专业化的直接体现。

其次，信息安全管理流程是根据一定的管理目标，对系列相关活动顺序和操作规则的规定。通常管理流程会贯穿若干部门，使用相关资源，是流程化、规范化管理的体现。与管理制度相比，管理流程更注重过程管理，通常会使用一些流程测量指标，作为衡量效率和判断是否合理的依据。

最后，在信息安全管理体系的实施中，如果关注结果，不注重或者难于监控过程，就倾向于使用制度去约束，如近几年在企业中大力推广的口令加密存储制度等。另一方面，如果在一个安全控制点上更关注过程，即关注是否具有完备的输入，是否有合理可操作的处理过程，是否产生了预期的结果，那么就倾向使用操作流程进行记录，如系统补丁加载等。

结束语

总之，企业信息安全体系的建设和完善，不仅、也不能单纯依靠技术手段去加以保障，还要依靠系统化、长期化、标准化、有效化的信息安全管理体系。只有技术体系和管理体系协同发展，既强调技术手段、又强化制度建设和流程优化，才能够真正实现 “全面、全员、全方位、全过程”的企业信息安全。