王洪亮

摘 要：隨著信息技術(shù)的不斷應(yīng)用，信息安全管理已經(jīng)逐漸成為各企業(yè)或各機(jī)構(gòu)管理體系的重要組成部分。了解信息安全對(duì)企業(yè)發(fā)展的重要性，制定科學(xué)合理的方案構(gòu)建完善的信息安全管理體系，是當(dāng)前企業(yè)發(fā)展中需要解決的問(wèn)題之一。

關(guān)鍵詞：信息;安全;管理體系

1 概述

信息安全管理是指在信息的使用、存儲(chǔ)、傳輸過(guò)程中做好安全保護(hù)工作，保持信息的保密性、完整性和可用性。其中，保密性是指保障信息僅能被具有使用權(quán)限的人獲取或使用;完整性指為信息及其處理方法的準(zhǔn)確性和完整性提供保護(hù)措施;可用性則指使用權(quán)限的人可在需要時(shí)獲取和使用相關(guān)的信息資產(chǎn)。因此，做好信息安全管理體系的研究對(duì)于提升信息的安全性具有現(xiàn)實(shí)意義。

2 信息安全管理體系

2.1 信息安全管理體系介紹 根據(jù)網(wǎng)絡(luò)安全相關(guān)統(tǒng)計(jì)表明，網(wǎng)絡(luò)信息安全事故中由于管理問(wèn)題導(dǎo)致出現(xiàn)安全事故的高達(dá)70%以上，因此解決網(wǎng)絡(luò)信息的安全問(wèn)題，除從技術(shù)層面進(jìn)行改進(jìn)外，還應(yīng)加強(qiáng)網(wǎng)絡(luò)信息的安全管理力度。信息安全管理體系的建設(shè)是一項(xiàng)長(zhǎng)期的、系統(tǒng)的、復(fù)雜的工程，在建設(shè)信息安全管理體系時(shí)，應(yīng)對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的各個(gè)環(huán)節(jié)進(jìn)行綜合考慮、規(guī)劃和構(gòu)架，并根據(jù)各個(gè)要素的變化情況對(duì)管理體系進(jìn)行必要的調(diào)整，任何環(huán)節(jié)存在安全缺陷都可能會(huì)影響整個(gè)體系的安全。

2.2 信息安全管理體系的功能 信息安全管理是指導(dǎo)企業(yè)對(duì)于信息安全風(fēng)險(xiǎn)相互協(xié)調(diào)的活動(dòng)，這種指導(dǎo)性活動(dòng)主要包括信息安全方針的制定、風(fēng)險(xiǎn)評(píng)估、安全保障、控制目標(biāo)及方式選擇等。企業(yè)要實(shí)現(xiàn)對(duì)信息資產(chǎn)進(jìn)行安全、高效、動(dòng)態(tài)的管理，就需要建立科學(xué)、完善、標(biāo)準(zhǔn)的信息安全管理體系。因此，一個(gè)有效的信息安全管理體系應(yīng)該具備以下功能：對(duì)企業(yè)的重要信息資產(chǎn)進(jìn)行全面的保護(hù)，維持企業(yè)的競(jìng)爭(zhēng)優(yōu)勢(shì);使企業(yè)能在預(yù)防和持續(xù)發(fā)展的觀點(diǎn)上處理突發(fā)事件，當(dāng)信息系統(tǒng)受到非法入侵時(shí)，能使相關(guān)的業(yè)務(wù)損失降到最低，并能維持基本的業(yè)務(wù)開(kāi)展;使企業(yè)的合作伙伴和客戶對(duì)企業(yè)充滿信心;能使企業(yè)定期對(duì)系統(tǒng)進(jìn)行更新和控制，以應(yīng)對(duì)新的安全威脅。

3 信息安全管理體系的構(gòu)建

3.1 信息安全管理框架的建立

信息安全管理框架是建設(shè)信息安全管理體系的基礎(chǔ)和參照依據(jù)，企業(yè)應(yīng)根據(jù)自身的生產(chǎn)情況或經(jīng)營(yíng)情況搭建適合企業(yè)自身發(fā)展的信息安全管理框架，并在具體的業(yè)務(wù)開(kāi)展中對(duì)各安全管理制度進(jìn)行實(shí)施，并建立各種與信息安全管理構(gòu)架相一致的文件或文檔，記錄信息安全管理體系實(shí)施過(guò)程中出現(xiàn)的安全事件和異常狀況，為后期建立嚴(yán)格的反饋制度提供參考。

3.1.1 信息安全管理策略。企業(yè)應(yīng)制定信息安全管理策略，為企業(yè)的信息安全管理提供方向和依據(jù)。對(duì)于企業(yè)來(lái)說(shuō)，不僅要建立總體的安全策略，還應(yīng)在此基礎(chǔ)上，根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，制定更加詳細(xì)、具體、具有可行性的安全方針，對(duì)各部門(mén)及各職員的職責(zé)進(jìn)行明確的劃分和控制。如訪問(wèn)控制策略、桌面清理策略、屏幕清除策略等。

3.1.2 范圍劃分。企業(yè)應(yīng)根據(jù)企業(yè)自身的特性，結(jié)合企業(yè)所在的地理位置、資產(chǎn)和技術(shù)等對(duì)信息安全管理體系的范圍進(jìn)行科學(xué)界定。一般來(lái)說(shuō)，企業(yè)信息安全管理體系包括的項(xiàng)目主要有信息系統(tǒng)、信息資產(chǎn)、信息技術(shù)、實(shí)物場(chǎng)所等。

3.1.3 風(fēng)險(xiǎn)評(píng)估。 企業(yè)需要對(duì)風(fēng)險(xiǎn)評(píng)估和管理方案進(jìn)行科學(xué)選擇，在選擇時(shí)應(yīng)根據(jù)企業(yè)自身的實(shí)際情況進(jìn)行規(guī)范評(píng)估，對(duì)目前所面臨的信息安全風(fēng)險(xiǎn)和風(fēng)險(xiǎn)等級(jí)進(jìn)行準(zhǔn)確識(shí)別。企業(yè)的信息資產(chǎn)是風(fēng)險(xiǎn)評(píng)估的主要對(duì)象，評(píng)估時(shí)應(yīng)考慮的因素有資產(chǎn)所受到的威脅、薄弱點(diǎn)及受到攻擊后對(duì)企業(yè)的影響。風(fēng)險(xiǎn)評(píng)估的方法有多種，但無(wú)論選擇哪種評(píng)估工具，其最終的評(píng)估結(jié)果是一致的。

3.1.4 風(fēng)險(xiǎn)管理。企業(yè)應(yīng)根據(jù)信息安全策略和所要求的安全程度，對(duì)要管理的風(fēng)險(xiǎn)內(nèi)容進(jìn)行識(shí)別。風(fēng)險(xiǎn)管理主要是風(fēng)險(xiǎn)控制，企業(yè)可采取一定的安全措施，將風(fēng)險(xiǎn)降低到企業(yè)可接受的水平。除降低風(fēng)險(xiǎn)外，還可通過(guò)轉(zhuǎn)移風(fēng)險(xiǎn)、規(guī)避風(fēng)險(xiǎn)的方法維護(hù)企業(yè)信息資產(chǎn)的安全。對(duì)于信息資產(chǎn)來(lái)說(shuō)，風(fēng)險(xiǎn)并不是一成不變的，當(dāng)企業(yè)發(fā)生變化、過(guò)程發(fā)生更改、技術(shù)進(jìn)行革新或新風(fēng)險(xiǎn)出現(xiàn)后，原有的風(fēng)險(xiǎn)就會(huì)隨之發(fā)生變化，這種變化也是對(duì)風(fēng)險(xiǎn)進(jìn)行管理的重要參考。

3.1.5 控制方式的選擇。風(fēng)險(xiǎn)評(píng)估后，企業(yè)應(yīng)從已有的安全技術(shù)中尋求有效的控制方法降低已識(shí)別的風(fēng)險(xiǎn)，控制方式還可包括一些額外的控制，如企業(yè)新增加的控制方式或其他法律法規(guī)所要求的控制方式。

3.1.6 適用性聲明。信息安全適用性聲明主要是對(duì)企業(yè)內(nèi)風(fēng)險(xiǎn)管理目標(biāo)、針對(duì)每種風(fēng)險(xiǎn)所采取的控制措施等內(nèi)容改進(jìn)記錄，這種記錄的主要目的是企業(yè)向內(nèi)部員工表明信息安全管理的重要性，同時(shí)也是企業(yè)向外部表明企業(yè)對(duì)信息安全及風(fēng)險(xiǎn)的態(tài)度和作為。

3.2 管理構(gòu)架的實(shí)施 信息安全管理體系（ISMS）框架的構(gòu)建只是建設(shè)信息安全管理體系的第一步，而框架的實(shí)施才是構(gòu)建ISMS的重要步驟。在實(shí)施ISMS過(guò)程中，應(yīng)對(duì)管理體系、實(shí)施的具體費(fèi)用、企業(yè)職工的工作習(xí)慣、不同部門(mén)之間的合作等各個(gè)要素進(jìn)行綜合考慮。企業(yè)可按照既定目標(biāo)和實(shí)施方式對(duì)信息的安全性進(jìn)行有效控制，這種有效性主要通過(guò)兩方面指標(biāo)體現(xiàn)，一是控制活動(dòng)執(zhí)行的嚴(yán)格性;二是活動(dòng)的結(jié)果與既定目標(biāo)的一致性。

3.3 信息安全管理的文檔化 在信息安全管理體系的建設(shè)和實(shí)施過(guò)程中，應(yīng)建立相關(guān)的文件和文檔，對(duì)ISMS管理范圍、管理框架、控制方式、具體操作過(guò)程等進(jìn)行記錄備案。在對(duì)文檔進(jìn)行管理時(shí)，可根據(jù)文檔的類(lèi)型和重要性對(duì)其等級(jí)劃分，并根據(jù)企業(yè)業(yè)務(wù)和規(guī)模的變化，對(duì)文檔進(jìn)行定期的修正和補(bǔ)充;而對(duì)于一些不再具有參考價(jià)值的文檔，可定期進(jìn)行廢棄處理。

4 總結(jié)

隨著信息時(shí)代的到來(lái)，信息在企業(yè)發(fā)展中的作用越來(lái)越強(qiáng)大，并且已經(jīng)成為企業(yè)的一種重要資產(chǎn)，對(duì)于企業(yè)信息資產(chǎn)來(lái)說(shuō)，做好信息的安全管理工作，對(duì)于企業(yè)的發(fā)展具有重要意義。在建立信息安全管理體系時(shí)，應(yīng)對(duì)管理框架、管理范圍、管理方式等內(nèi)容進(jìn)行科學(xué)選擇，并做好相關(guān)的文檔記錄，為后期信息安全管理體系的進(jìn)一步優(yōu)化提供參考。

參考文獻(xiàn)：

[1]高文濤.國(guó)內(nèi)外信息安全管理體系研究[J].計(jì)算機(jī)安全，2008（12）：95-97.

[2]李慧.信息安全管理體系研究[D].西安電子科技大學(xué)，2005.

[3]王海軍.網(wǎng)絡(luò)信息安全管理體系研究[J].信息網(wǎng)絡(luò)安全，2008（3）：47-48.