一、从内网安全防护来看建立信息安全管理体系的步骤
如今,随着计算机网络的发展,黑客攻击、内部违规操作等使信息安全受到严重威胁,因此,为了防止信息泄露,企业必须要在做好内网安全的同时,还需建立信息安全管理体系,确保信息的安全。本文介绍企业如何建立信息安全管理体系的步骤:
第一,定义信息安全管理策略。信息安全策略是组织信息安全的最高方针,需要根据组织内各个部门的实际情况,分别制定不同的信息安全策略。例如,规模较小的组织单位可能只有一个信息安全策略,并适用于组织内所有部门、员工;而规模大的集团组织则需要制订一个信息安全策略文件,分别适用于不同的子公司或各分支组织。信息安全策略应该简单明确、通俗易懂,并形成书面文件,发给组织内的所有成员。同时要对所有相关员工进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。
第二,定义ISMS的范围。ISMS的范围确定需要重点进行信息安全管理的领域,组织需要根据自己的实际情况,在整个组织范围内或者在个别部门或领域构架ISMS。在本阶段,应将组织划分成不同的信息安全控制领域,以易于组织对有不同需求的领域进行适当的信息安全管理。
第三,进行信息安全风险评估。信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需要相一致。风险评估主要对ISMS范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的信息安全管理措施进行鉴定。风险评估主要依赖于商业信息和系统的性质、使用信息的商业目的、所采用的系统环境等因素,组织在进行信息资产风险评估时,需要将直接后果和潜在后果一并考虑。
第四,信息安全风险管理。根据风险评估的结果进行相应的风险管理。信息安全风险管理主要包括以下几种措施。
①降低风险:在考虑转嫁风险前,应首先考虑采取措施降低风险。
②避免风险:有些风险很容易避免,例如通过采用不同的技术、更改操作流程、采用简单的技术措施等。
③转嫁风险:通常只有当风险不能被降低或避免、且被第三方(被转嫁方)接受时才被采用。一般用于那些低概率,但一旦风险发生时会对组织产生重大影响的风险。
④接受风险:用于那些在采取了降低风险和避免风险措施后,出于实际和经济方面的原因,只要组织进行运营,就必然存在并必须接受的风险。
第五,确定管制目标和选择管制措施。管制目标的确定和管制措施的选择原则是费用不超过风险所造成的损失。由于信息安全是一个动态的系统工程,组织应实时对选择的管制目标和管制措施加以校验和调整,以适应变化了的情况,使组织的信息资产得到有效、经济、合理的保护。
二、信息安全管理越来越重要,内网安全管理不容忽视
信息安全界有句名言:三分技术,七分管理。决定信息安全成败的因素除了技术,另一个就是管理。安全技术是信息安全控制的重要手段,但光有安全技术还不行,要让安全技术发挥应有的作用,必然要有适当的管理手段的支持。否则,安全技术只能趋于僵化和失败。如果说安全技术是信息安全的构筑材料,那么安全管理就是信息安全的黏合剂和催化剂,只有将有效的安全管理从始至终贯彻落实于安全建设的方方面面,信息安全的长期性和稳定性才能有所保证。如今,来自内部信息泄露占有很大的比重,因此,保障信息安全,也必须重视内网安全管理。
从信息安全的发展来看,通信保密、计算机安全和信息安全都是想用技术来解决安全问题。虽然信息安全技术可以解决部分的信息安全问题,但随着信息使用的日益广泛,技术的缺陷在现实中日益明显。由于现实世界的任何系统都是一串复杂的环节,安全措施必须渗透到系统的所有地方,其中一些甚至连系统的设计者、实现者和使用者都不知道。因此,不安全因素总是存在的,因为没有一个系统是完美的,没有一项技术是灵丹妙药。
从组织对信息的依赖程度看,在当今全球一体化的商业环境中,信息的重要性被广泛接受,信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和社会,使得信息安全管理成为组织管理越来越关键的一部分。管理高层需要确保信息技术适应企业战略,企业战略也恰当利用信息技术的优势。总之,随着对信息安全认识的逐步深入,人们认识到安全和管理是分不开的,即使有再好的安全设备和系统,而没有一套良好的安全管理制度、管理方法并贯彻实施,信息安全问题也是空谈。
|