摘 要:隨着信息技術的不斷應用,信息安全管理已經逐漸成爲各企業或各機構管理體系的重要組成部分。瞭解信息安全對企業發展的重要性,制定科學合理的方案構建完善的信息安全管理體系,是當前企業發展中需要解決的問題之一。
關鍵詞:信息;管理體系;安全
一、概述
信息安全管理是指在信息的使用、存儲、傳輸過程中做好安全保護工作,保持信息的保密性、完整性和可用性。其中,保密性是指保障信息僅能被具有使用權限的人獲取或使用;完整性指爲信息及其處理方法的準確性和完整性提供保護措施;可用性則指使用權限的人可在需要時獲取和使用相關的信息資產。因此,做好信息安全管理體系的研究對於提升信息的安全性具有現實意義。
二、信息安全管理體系
2.1 信息安全管理體系介紹 根據網絡安全相關統計表明,網絡信息安全事故中由於管理問題導致出現安全事故的高達70%以上,因此解決網絡信息的安全問題,除從技術層面進行改進外,還應加強網絡信息的安全管理力度。信息安全管理體系的建設是一項長期的、系統的、複雜的工程,在建設信息安全管理體系時,應對整個網絡系統的各個環節進行綜合考慮、規劃和構架,並根據各個要素的變化情況對管理體系進行必要的調整,任何環節存在安全缺陷都可能會影響整個體系的安全。
2.2 信息安全管理體系的功能 信息安全管理是指導企業對於信息安全風險相互協調的活動,這種指導性活動主要包括信息安全方針的制定、風險評估、安全保障、控制目標及方式選擇等。企業要實現對信息資產進行安全、高效、動態的管理,就需要建立科學、完善、標準的信息安全管理體系。因此,一個有效的信息安全管理體系應該具備以下功能:對企業的重要信息資產進行全面的保護,維持企業的競爭優勢;使企業能在預防和持續發展的觀點上處理突發事件,當信息系統受到非法入侵時,能使相關的業務損失降到最低,並能維持基本的業務開展;使企業的合作伙伴和客戶對企業充滿信心;能使企業定期對系統進行更新和控制,以應對新的安全威脅。
三、信息安全管理體系的構建
3.1 信息安全管理框架的建立
信息安全管理框架是建設信息安全管理體系的基礎和參照依據,企業應根據自身的生產情況或經營情況搭建適合企業自身發展的信息安全管理框架,並在具體的業務開展中對各安全管理制度進行實施,並建立各種與信息安全管理構架相一致的文件或文檔,記錄信息安全管理體系實施過程中出現的安全事件和異常狀況,爲後期建立嚴格的反饋制度提供參考。
3.1.1 信息安全管理策略。企業應制定信息安全管理策略,爲企業的信息安全管理提供方向和依據。對於企業來說,不僅要建立總體的安全策略,還應在此基礎上,根據風險評估結果,制定更加詳細、具體、具有可行性的安全方針,對各部門及各職員的職責進行明確的劃分和控制。如訪問控制策略、桌面清理策略、屏幕清除策略等。
3.1.2 範圍劃分。企業應根據企業自身的特性,結合企業所在的地理位置、資產和技術等對信息安全管理體系的範圍進行科學界定。一般來說,企業信息安全管理體系包括的項目主要有信息系統、信息資產、信息技術、實物場所等。
3.1.3 風險評估。 企業需要對風險評估和管理方案進行科學選擇,在選擇時應根據企業自身的實際情況進行規範評估,對目前所面臨的信息安全風險和風險等級進行準確識別。企業的信息資產是風險評估的主要對象,評估時應考慮的因素有資產所受到的威脅、薄弱點及受到攻擊後對企業的影響。風險評估的方法有多種,但無論選擇哪種評估工具,其最終的評估結果是一致的。
3.1.4 風險管理。企業應根據信息安全策略和所要求的安全程度,對要管理的風險內容進行識別。風險管理主要是風險控制,企業可採取一定的安全措施,將風險降低到企業可接受的水平。除降低風險外,還可通過轉移風險、規避風險的方法維護企業信息資產的安全。對於信息資產來說,風險並不是一成不變的,當企業發生變化、過程發生更改、技術進行革新或新風險出現後,原有的風險就會隨之發生變化,這種變化也是對風險進行管理的重要參考。
3.1.5 控制方式的選擇。風險評估後,企業應從已有的安全技術中尋求有效的控制方法降低已識別的風險,控制方式還可包括一些額外的控制,如企業新增加的控制方式或其他法律法規所要求的控制方式。
3.1.6 適用性聲明。信息安全適用性聲明主要是對企業內風險管理目標、針對每種風險所採取的控制措施等內容改進記錄,這種記錄的主要目的是企業向內部員工表明信息安全管理的'重要性,同時也是企業向外部表明企業對信息安全及風險的態度和作爲。
3.2 管理構架的實施 信息安全管理體系(ISMS)框架的構建只是建設信息安全管理體系的第一步,而框架的實施纔是構建ISMS的重要步驟。在實施ISMS過程中,應對管理體系、實施的具體費用、企業職工的工作習慣、不同部門之間的合作等各個要素進行綜合考慮。企業可按照既定目標和實施方式對信息的安全性進行有效控制,這種有效性主要通過兩方面指標體現,一是控制活動執行的嚴格性;二是活動的結果與既定目標的一致性。
3.3 信息安全管理的文檔化 在信息安全管理體系的建設和實施過程中,應建立相關的文件和文檔,對ISMS管理範圍、管理框架、控制方式、具體操作過程等進行記錄備案。在對文檔進行管理時,可根據文檔的類型和重要性對其等級劃分,並根據企業業務和規模的變化,對文檔進行定期的修正和補充;而對於一些不再具有參考價值的文檔,可定期進行廢棄處理。
四、總結
隨着信息時代的到來,信息在企業發展中的作用越來越強大,並且已經成爲企業的一種重要資產,對於企業信息資產來說,做好信息的安全管理工作,對於企業的發展具有重要意義。在建立信息安全管理體系時,應對管理框架、管理範圍、管理方式等內容進行科學選擇,並做好相關的文檔記錄,爲後期信息安全管理體系的進一步優化提供參考。
參考文獻:
[1]高文濤.國內外信息安全管理體系研究[J].計算機安全,2008(12):95-97.
[2]李慧.信息安全管理體系研究[D].西安電子科技大學,2005.
[3]王海軍.網絡信息安全管理體系研究[J].信息網絡安全,2008(3):47-48.