信息安全管理體系研究

信息安全管理體系研究

　　摘 要：隨著信息技術(shù)的不斷應(yīng)用，信息安全管理已經(jīng)逐漸成為各企業(yè)或各機(jī)構(gòu)管理體系的重要組成部分。了解信息安全對企業(yè)發(fā)展的重要性，制定科學(xué)合理的方案構(gòu)建完善的信息安全管理體系，是當(dāng)前企業(yè)發(fā)展中需要解決的問題之一。

　　關(guān)鍵詞：信息;管理體系;安全

　　一、概述

　　信息安全管理是指在信息的使用、存儲、傳輸過程中做好安全保護(hù)工作，保持信息的保密性、完整性和可用性。其中，保密性是指保障信息僅能被具有使用權(quán)限的人獲取或使用;完整性指為信息及其處理方法的準(zhǔn)確性和完整性提供保護(hù)措施;可用性則指使用權(quán)限的人可在需要時獲取和使用相關(guān)的信息資產(chǎn)。因此，做好信息安全管理體系的研究對于提升信息的安全性具有現(xiàn)實(shí)意義。

　　二、信息安全管理體系

　　2.1 信息安全管理體系介紹 根據(jù)網(wǎng)絡(luò)安全相關(guān)統(tǒng)計表明，網(wǎng)絡(luò)信息安全事故中由于管理問題導(dǎo)致出現(xiàn)安全事故的高達(dá)70%以上，因此解決網(wǎng)絡(luò)信息的安全問題，除從技術(shù)層面進(jìn)行改進(jìn)外，還應(yīng)加強(qiáng)網(wǎng)絡(luò)信息的安全管理力度。信息安全管理體系的建設(shè)是一項(xiàng)長期的、系統(tǒng)的、復(fù)雜的工程，在建設(shè)信息安全管理體系時，應(yīng)對整個網(wǎng)絡(luò)系統(tǒng)的各個環(huán)節(jié)進(jìn)行綜合考慮、規(guī)劃和構(gòu)架，并根據(jù)各個要素的變化情況對管理體系進(jìn)行必要的調(diào)整，任何環(huán)節(jié)存在安全缺陷都可能會影響整個體系的安全。

　　2.2 信息安全管理體系的功能 信息安全管理是指導(dǎo)企業(yè)對于信息安全風(fēng)險相互協(xié)調(diào)的活動，這種指導(dǎo)性活動主要包括信息安全方針的制定、風(fēng)險評估、安全保障、控制目標(biāo)及方式選擇等。企業(yè)要實(shí)現(xiàn)對信息資產(chǎn)進(jìn)行安全、高效、動態(tài)的管理，就需要建立科學(xué)、完善、標(biāo)準(zhǔn)的信息安全管理體系。因此，一個有效的信息安全管理體系應(yīng)該具備以下功能：對企業(yè)的重要信息資產(chǎn)進(jìn)行全面的保護(hù)，維持企業(yè)的競爭優(yōu)勢;使企業(yè)能在預(yù)防和持續(xù)發(fā)展的觀點(diǎn)上處理突發(fā)事件，當(dāng)信息系統(tǒng)受到非法入侵時，能使相關(guān)的業(yè)務(wù)損失降到最低，并能維持基本的業(yè)務(wù)開展;使企業(yè)的合作伙伴和客戶對企業(yè)充滿信心;能使企業(yè)定期對系統(tǒng)進(jìn)行更新和控制，以應(yīng)對新的安全威脅。

　　三、信息安全管理體系的構(gòu)建

　　3.1 信息安全管理框架的建立

　　信息安全管理框架是建設(shè)信息安全管理體系的基礎(chǔ)和參照依據(jù)，企業(yè)應(yīng)根據(jù)自身的生產(chǎn)情況或經(jīng)營情況搭建適合企業(yè)自身發(fā)展的信息安全管理框架，并在具體的業(yè)務(wù)開展中對各安全管理制度進(jìn)行實(shí)施，并建立各種與信息安全管理構(gòu)架相一致的文件或文檔，記錄信息安全管理體系實(shí)施過程中出現(xiàn)的安全事件和異常狀況，為后期建立嚴(yán)格的反饋制度提供參考。

　　3.1.1 信息安全管理策略。企業(yè)應(yīng)制定信息安全管理策略，為企業(yè)的信息安全管理提供方向和依據(jù)。對于企業(yè)來說，不僅要建立總體的安全策略，還應(yīng)在此基礎(chǔ)上，根據(jù)風(fēng)險評估結(jié)果，制定更加詳細(xì)、具體、具有可行性的安全方針，對各部門及各職員的職責(zé)進(jìn)行明確的劃分和控制。如訪問控制策略、桌面清理策略、屏幕清除策略等。

　　3.1.2 范圍劃分。企業(yè)應(yīng)根據(jù)企業(yè)自身的特性，結(jié)合企業(yè)所在的地理位置、資產(chǎn)和技術(shù)等對信息安全管理體系的范圍進(jìn)行科學(xué)界定。一般來說，企業(yè)信息安全管理體系包括的項(xiàng)目主要有信息系統(tǒng)、信息資產(chǎn)、信息技術(shù)、實(shí)物場所等。

　　3.1.3 風(fēng)險評估。 企業(yè)需要對風(fēng)險評估和管理方案進(jìn)行科學(xué)選擇，在選擇時應(yīng)根據(jù)企業(yè)自身的實(shí)際情況進(jìn)行規(guī)范評估，對目前所面臨的信息安全風(fēng)險和風(fēng)險等級進(jìn)行準(zhǔn)確識別。企業(yè)的信息資產(chǎn)是風(fēng)險評估的主要對象，評估時應(yīng)考慮的因素有資產(chǎn)所受到的威脅、薄弱點(diǎn)及受到攻擊后對企業(yè)的影響。風(fēng)險評估的方法有多種，但無論選擇哪種評估工具，其最終的評估結(jié)果是一致的。

　　3.1.4 風(fēng)險管理。企業(yè)應(yīng)根據(jù)信息安全策略和所要求的安全程度，對要管理的風(fēng)險內(nèi)容進(jìn)行識別。風(fēng)險管理主要是風(fēng)險控制，企業(yè)可采取一定的安全措施，將風(fēng)險降低到企業(yè)可接受的水平。除降低風(fēng)險外，還可通過轉(zhuǎn)移風(fēng)險、規(guī)避風(fēng)險的方法維護(hù)企業(yè)信息資產(chǎn)的安全。對于信息資產(chǎn)來說，風(fēng)險并不是一成不變的，當(dāng)企業(yè)發(fā)生變化、過程發(fā)生更改、技術(shù)進(jìn)行革新或新風(fēng)險出現(xiàn)后，原有的風(fēng)險就會隨之發(fā)生變化，這種變化也是對風(fēng)險進(jìn)行管理的重要參考。

　　3.1.5 控制方式的選擇。風(fēng)險評估后，企業(yè)應(yīng)從已有的安全技術(shù)中尋求有效的控制方法降低已識別的風(fēng)險，控制方式還可包括一些額外的控制，如企業(yè)新增加的控制方式或其他法律法規(guī)所要求的控制方式。

　　3.1.6 適用性聲明。信息安全適用性聲明主要是對企業(yè)內(nèi)風(fēng)險管理目標(biāo)、針對每種風(fēng)險所采取的控制措施等內(nèi)容改進(jìn)記錄，這種記錄的主要目的是企業(yè)向內(nèi)部員工表明信息安全管理的重要性，同時也是企業(yè)向外部表明企業(yè)對信息安全及風(fēng)險的態(tài)度和作為。

　　3.2 管理構(gòu)架的實(shí)施 信息安全管理體系(ISMS)框架的構(gòu)建只是建設(shè)信息安全管理體系的第一步，而框架的實(shí)施才是構(gòu)建ISMS的重要步驟。在實(shí)施ISMS過程中，應(yīng)對管理體系、實(shí)施的具體費(fèi)用、企業(yè)職工的工作習(xí)慣、不同部門之間的合作等各個要素進(jìn)行綜合考慮。企業(yè)可按照既定目標(biāo)和實(shí)施方式對信息的安全性進(jìn)行有效控制，這種有效性主要通過兩方面指標(biāo)體現(xiàn)，一是控制活動執(zhí)行的嚴(yán)格性;二是活動的結(jié)果與既定目標(biāo)的一致性。

　　3.3 信息安全管理的文檔化 在信息安全管理體系的建設(shè)和實(shí)施過程中，應(yīng)建立相關(guān)的文件和文檔，對ISMS管理范圍、管理框架、控制方式、具體操作過程等進(jìn)行記錄備案。在對文檔進(jìn)行管理時，可根據(jù)文檔的類型和重要性對其等級劃分，并根據(jù)企業(yè)業(yè)務(wù)和規(guī)模的變化，對文檔進(jìn)行定期的修正和補(bǔ)充;而對于一些不再具有參考價值的文檔，可定期進(jìn)行廢棄處理。

　　四、總結(jié)

　　隨著信息時代的到來，信息在企業(yè)發(fā)展中的作用越來越強(qiáng)大，并且已經(jīng)成為企業(yè)的一種重要資產(chǎn)，對于企業(yè)信息資產(chǎn)來說，做好信息的安全管理工作，對于企業(yè)的發(fā)展具有重要意義。在建立信息安全管理體系時，應(yīng)對管理框架、管理范圍、管理方式等內(nèi)容進(jìn)行科學(xué)選擇，并做好相關(guān)的文檔記錄，為后期信息安全管理體系的進(jìn)一步優(yōu)化提供參考。

　　參考文獻(xiàn)：

　　[1]高文濤.國內(nèi)外信息安全管理體系研究[J].計算機(jī)安全，2008(12)：95-97.

　　[2]李慧.信息安全管理體系研究[D].西安電子科技大學(xué)，2005.

　　[3]王海軍.網(wǎng)絡(luò)信息安全管理體系研究[J].信息網(wǎng)絡(luò)安全，2008(3)：47-48.

【信息安全管理體系研究】相關(guān)文章：

電力企業(yè)信息安全管理體系分析研究09-20

企業(yè)職業(yè)健康安全管理體系研究論文07-09

對高速公路安全管理體系的若干研究06-28

網(wǎng)絡(luò)信息安全及信息安全性等級研究10-15

稅源管理體系的優(yōu)化研究08-04

高校信息化建設(shè)與信息安全管理研究06-14

民航空管網(wǎng)絡(luò)與信息安全管理體系的構(gòu)建論文07-03

企業(yè)信息安全管理體系構(gòu)建的要點(diǎn)與策略論文06-29

信息安全技術(shù)與數(shù)字證書研究10-23

企業(yè)信息數(shù)據(jù)安全的研究論文09-08