王德正

（上海東方怡動(dòng)信息技術(shù)有限公司，上海 201210）

在經(jīng)濟(jì)全面發(fā)展的趨勢(shì)下，信息化和工業(yè)化不斷融合，企業(yè)的信息管理已經(jīng)成為企業(yè)經(jīng)營的重要部分，對(duì)于企業(yè)的設(shè)計(jì)研發(fā)、生產(chǎn)制造、業(yè)務(wù)銷售等都有著重要的影響。數(shù)據(jù)時(shí)代，企業(yè)對(duì)于信息的應(yīng)用越廣泛，對(duì)信息體系的依賴就越強(qiáng)，企業(yè)所面臨的信息風(fēng)險(xiǎn)越高。企業(yè)在發(fā)展的過程中，既要發(fā)揮信息化的優(yōu)勢(shì)和價(jià)值，也要做好信息的管理工作。要構(gòu)建安全的信息管理體系，僅僅依靠技術(shù)是不夠的，必須要將技術(shù)和管理進(jìn)行有效的結(jié)合，只有這樣，才能構(gòu)建一個(gè)完整的安全體系，從而推動(dòng)企業(yè)發(fā)展。

1. 企業(yè)信息安全管理的現(xiàn)狀

1.1 信息安全管理體系缺乏總體性的規(guī)劃和策略

企業(yè)對(duì)于信息的安全管理，通常都交由IT部門管理，許多管理人員會(huì)覺得信息管理就是IT部門的事情。在這個(gè)基礎(chǔ)上，企業(yè)的其他部門對(duì)于企業(yè)的信息安全建設(shè)，很少會(huì)關(guān)注，這是影響安全體系完整性的重要因素。IT部門的網(wǎng)絡(luò)技術(shù)對(duì)于信息的保護(hù)有一定效果，但卻缺乏管理作用。企業(yè)信息涉及到的人員包含各個(gè)部門，除了IT部門，許多部門的人員都會(huì)接觸到企業(yè)的信息，IT部門只能從技術(shù)上對(duì)信息和數(shù)據(jù)進(jìn)行保存，但內(nèi)部的信息保護(hù)，IT部門是沒有辦法完成的，這個(gè)環(huán)節(jié)需要專業(yè)的管理人員來規(guī)劃和管理。安全體系缺乏完整性和總體性的規(guī)劃，會(huì)讓企業(yè)的信息建設(shè)過于零散，也沒有辦法對(duì)信息資源的提供方進(jìn)行有效的防護(hù)。

1.2 企業(yè)員工的信息安全意識(shí)薄弱，專業(yè)性人才缺乏

“重技術(shù)、輕管理?！边@是所有企業(yè)發(fā)展中普遍存在的問題，關(guān)于企業(yè)的信息安全問題，許多管理人員缺乏正確的認(rèn)識(shí)，甚至有管理人員認(rèn)為信息安全就是殺毒和安裝防火墻。這樣的認(rèn)知不僅片面，還會(huì)讓企業(yè)員工的安全意識(shí)變得薄弱。企業(yè)在發(fā)展的過程中，出于經(jīng)濟(jì)利益的考慮，都會(huì)讓系統(tǒng)的管理人員承擔(dān)管理和系統(tǒng)配置的雙重責(zé)任，安全系統(tǒng)的設(shè)計(jì)和審核都是一人完成。要真正完成這兩項(xiàng)工作，需要非常專業(yè)的信息安全管理人員，但大部分企業(yè)的系統(tǒng)管理人員都不是專業(yè)人員，所以很難將安全管理的工作進(jìn)行到位，這會(huì)給企業(yè)的安全管理造成嚴(yán)重的隱患，也容易讓企業(yè)信息處于失控的局面。

1.3 信息安全缺乏體系化的管理

要對(duì)信息安全進(jìn)行有效的關(guān)系，需要一個(gè)完整的體系，但實(shí)際管理工作開展的過程中，許多企業(yè)的管理方式都是零散和傳統(tǒng)的。傳統(tǒng)的管理方式是補(bǔ)救，卻沒有查缺?；径际枪芾磉^程中出了問題，再進(jìn)行補(bǔ)救，但沒有出現(xiàn)問題之前，企業(yè)很少會(huì)進(jìn)行預(yù)防。這種管理模式已經(jīng)適應(yīng)不了現(xiàn)代市場(chǎng)經(jīng)濟(jì)的發(fā)展了，對(duì)于信息安全的管理也不夠全面。要對(duì)信息安全進(jìn)行體系化管理，管理工作需要全面。預(yù)防、控制、改進(jìn)、評(píng)估等環(huán)節(jié)缺一不可。

2. 企業(yè)信息安全管理體系構(gòu)建的要點(diǎn)

2.1 完善信息安全管理的組織機(jī)構(gòu)

要構(gòu)建一個(gè)完整的管理體系，企業(yè)必須對(duì)管理的組織機(jī)構(gòu)進(jìn)行完善，組建一個(gè)專門的管理機(jī)制。管理工作開展的過程中，要明確各個(gè)人員的職責(zé)，這樣確保分工明確，職責(zé)到位。如果組織的機(jī)構(gòu)不明確，安全管理工作開展的過程中，會(huì)出現(xiàn)人手不足的情況，對(duì)于管理工作的開展，也沒有辦法進(jìn)行深入，這會(huì)降低管理工作的質(zhì)量和力度。組織機(jī)構(gòu)不夠完善，也會(huì)讓管理制度缺乏，這樣容易造成信息安全事件，所以企業(yè)構(gòu)建管理體系的時(shí)候，一定要加強(qiáng)管理機(jī)制的完善，如圖1所示。

圖1 CISP知識(shí)體系結(jié)構(gòu)

2.2 對(duì)物理環(huán)境進(jìn)行有效的管理

安全管理的過程中，環(huán)境管理也是工作的重要組成部分。安全管理中的物理環(huán)境主要是指機(jī)房、設(shè)備、消防等，物理環(huán)境管理中，支持設(shè)備的管理尤為重要，信息技術(shù)不斷發(fā)展的過程中，對(duì)于計(jì)算機(jī)設(shè)備的要求也越來越高，所以安全管理工作開展的過程中，一定要加強(qiáng)對(duì)設(shè)備的管理。對(duì)于機(jī)房，企業(yè)可以根據(jù)業(yè)務(wù)發(fā)展的實(shí)際情況進(jìn)行劃分和評(píng)審，根據(jù)設(shè)備的系統(tǒng)模塊建立相對(duì)應(yīng)的管理制度。機(jī)房的消防管理也是安全重點(diǎn)，一定要構(gòu)建消防系統(tǒng)，系統(tǒng)構(gòu)建的過程中，要按照規(guī)定的消防要求。這個(gè)過程中，還要對(duì)工作人員進(jìn)行消防知識(shí)的培訓(xùn)，和應(yīng)急演練。定期檢查消防設(shè)施安全，對(duì)于不符合規(guī)定的消防設(shè)施，及時(shí)更換和維護(hù)。對(duì)消防秩序進(jìn)行監(jiān)督和巡查，支持性的設(shè)備一定要建立監(jiān)控系統(tǒng)，對(duì)于設(shè)備的資產(chǎn)管理、維護(hù)管理、系統(tǒng)應(yīng)急等，一定要進(jìn)行有效的管理，物理環(huán)境的管理是管理工作的基礎(chǔ)，也是開展工作的前提。

2.3 用戶和操作管理

對(duì)所有設(shè)備的運(yùn)行實(shí)施網(wǎng)絡(luò)監(jiān)控，要做到這一點(diǎn)，可以啟動(dòng)設(shè)備的日志功能。對(duì)于重要設(shè)備，可以構(gòu)建集中日志管理服務(wù)器，這樣可以對(duì)日志的審查進(jìn)行分析。對(duì)設(shè)備進(jìn)行定期維護(hù)，可以根據(jù)設(shè)備的重要性制定相對(duì)應(yīng)的備份策略，對(duì)于設(shè)備的備份數(shù)據(jù)進(jìn)行測(cè)試，這樣可以保障數(shù)據(jù)的完整性和可用性。設(shè)置用戶權(quán)限，遵循最小授權(quán)和權(quán)限分割的原則。所有賬號(hào)開通之后，要對(duì)初始口令進(jìn)行修改采用高級(jí)密碼策略。對(duì)于密碼的變更，要建立嚴(yán)格的管理流程，對(duì)于影響安全組織和信息處理設(shè)施的系統(tǒng)變更，要加以控制，嚴(yán)格規(guī)定操作流程，這樣可以減少誤用系統(tǒng)帶來的風(fēng)險(xiǎn)。

2.4 信息系統(tǒng)的開發(fā)、維護(hù)和獲取管理

信息系統(tǒng)的獲取和維護(hù)過程，也是安全管理的重要內(nèi)容，使用安全系統(tǒng)和工具的過程中，要對(duì)內(nèi)部的應(yīng)用系統(tǒng)和工具提出安全需求，這個(gè)過程中，需要在開發(fā)需求文件中對(duì)安全需求定義。如果軟件的開發(fā)過程中需要測(cè)試數(shù)據(jù)，一定要對(duì)數(shù)據(jù)進(jìn)行選擇、保護(hù)和控制。對(duì)于個(gè)人信息和敏感信息一定要進(jìn)行處理，嚴(yán)格控制訪問的流程和相關(guān)資料。對(duì)于非授權(quán)的功能一定要進(jìn)行控住，這樣可以減少應(yīng)用故障。

2.5 業(yè)務(wù)連續(xù)性管理

對(duì)安全體系內(nèi)的系統(tǒng)和設(shè)施進(jìn)行業(yè)務(wù)連續(xù)性管理分析，分析管理體系中可能會(huì)面臨的風(fēng)險(xiǎn)和故障，對(duì)風(fēng)險(xiǎn)進(jìn)行等級(jí)評(píng)估。如果是不可接受的風(fēng)險(xiǎn)，可以采取降低風(fēng)險(xiǎn)措施，并構(gòu)建應(yīng)急方案。如果系統(tǒng)的運(yùn)行環(huán)境發(fā)生了重大變化，要對(duì)系統(tǒng)的風(fēng)險(xiǎn)等級(jí)進(jìn)行二次評(píng)估，根據(jù)應(yīng)急的系統(tǒng)現(xiàn)狀和需求，制定連續(xù)性計(jì)劃。通過模擬測(cè)試的方法對(duì)計(jì)劃進(jìn)行評(píng)估和審查，如果系統(tǒng)出現(xiàn)危機(jī)，業(yè)務(wù)連續(xù)性管理十分重要，不僅提高了企業(yè)風(fēng)險(xiǎn)防范的能力，還降低了業(yè)務(wù)中斷做帶來的損失。

3. 構(gòu)建企業(yè)信息安全管理的有效策略

3.1 信息安全管理體系模型

現(xiàn)階段，對(duì)于信息安全管理的標(biāo)準(zhǔn)，最具代表性和權(quán)威性的是ISO/IEC 27000系列標(biāo)準(zhǔn)，信息安全的管理主要建立在風(fēng)險(xiǎn)管理上，采用風(fēng)險(xiǎn)分析的模式，降低風(fēng)險(xiǎn)發(fā)生的概率，所以信息安全管理的體系模型可以從以下幾分方面入手。首先，計(jì)劃和實(shí)施，對(duì)安全體系的計(jì)劃階段，主要是用來保證管理體系的構(gòu)建，而實(shí)施是保障體系的內(nèi)容和范圍。其次，檢查和改進(jìn)。這一階段主要是對(duì)信息的安全識(shí)別和改進(jìn)方案的實(shí)施。安全管理體系中，檢查是一個(gè)非常重要的環(huán)節(jié)，不僅能判斷安全管理是否科學(xué)，還可以檢查其安全措施是否有效。通過改進(jìn)計(jì)劃，可以對(duì)系統(tǒng)進(jìn)行完善。

3.2 信息安全管理體系構(gòu)建的過程

安全管理體系的構(gòu)建是一個(gè)系統(tǒng)的工程，企業(yè)要構(gòu)建一個(gè)完整的體系，必須要得到企業(yè)領(lǐng)導(dǎo)的許可，只有這樣，才能保障安全體系構(gòu)建的資源支持。但安全體系的運(yùn)行需要各個(gè)部門的參與，所以企業(yè)對(duì)體系機(jī)構(gòu)要進(jìn)行重新設(shè)置。安全管理不僅僅是IT部門的事情，而是整個(gè)企業(yè)部門共同參與的管理工作，要構(gòu)建一個(gè)完整的安全管理體系，需要整個(gè)企業(yè)的工作人員共同參與和協(xié)作。企業(yè)的信息安全組織機(jī)構(gòu)包含決策層、管理層、執(zhí)行層。要確保管理體系的正常運(yùn)行，這三個(gè)組織機(jī)構(gòu)必須要發(fā)揮各自的作用。決策層通常都是企業(yè)信息安全管理的最高管理機(jī)構(gòu)，需要為企業(yè)的安全管理提供各類的必要資源。管理層負(fù)責(zé)的是信息安全的管理和監(jiān)督、教育和考核。中小型企業(yè)以IT部門承擔(dān)這一職責(zé)，但要確保安全管理體系正常運(yùn)行，需要設(shè)立專門的管理部門。執(zhí)行層是策略和計(jì)劃落實(shí)額的人員，所以執(zhí)行人員一定要加強(qiáng)自身的專業(yè)素質(zhì)和水平。

3.3 建立管理體系

一個(gè)完整體系的建立需要涵蓋多個(gè)方面，可以從以下幾點(diǎn)入手。首先，制定信息安全的方針和策略。關(guān)于信息的安全管理，企業(yè)在發(fā)展的過程中應(yīng)該制定一個(gè)總體的方針。根據(jù)企業(yè)的發(fā)展方向和實(shí)際情況，制定對(duì)應(yīng)的策略。其次，對(duì)安全管理體系的范圍進(jìn)行定義，任何一個(gè)企業(yè)的資源都是有限的，所以構(gòu)建管理體系的時(shí)候，對(duì)管理范圍的定義很重要。要做出準(zhǔn)確的定義，可以從組織、人員、技術(shù)和設(shè)備等方面考慮，這樣可以形成完整的管理體系。在體系構(gòu)建的過程中，風(fēng)險(xiǎn)的評(píng)估是不可缺少的一個(gè)環(huán)節(jié)，企業(yè)需要對(duì)現(xiàn)有的信息框架進(jìn)行評(píng)估，在現(xiàn)有的基礎(chǔ)上進(jìn)行完善和補(bǔ)充，并產(chǎn)生新的評(píng)估數(shù)據(jù)。最后，制定處理計(jì)劃。對(duì)企業(yè)所面臨的風(fēng)險(xiǎn)，管理體系需要制定專門的處理計(jì)劃，對(duì)于不可控制的風(fēng)險(xiǎn)，可以采取轉(zhuǎn)移和降低的方法進(jìn)行處理，處理計(jì)劃實(shí)施的過程中，一定要落實(shí)相關(guān)責(zé)任。對(duì)信息安全管理體系進(jìn)行編寫的過程中，其內(nèi)容要符合企業(yè)的發(fā)展現(xiàn)狀，操作方法具有實(shí)用性。

4. 結(jié)語

對(duì)于企業(yè)信息的管理，沒有絕對(duì)的安全性可言，企業(yè)構(gòu)建安全管理體系之后，并不代表企業(yè)的信息管理就沒有了風(fēng)險(xiǎn)，管理體系只是對(duì)企業(yè)的信息風(fēng)險(xiǎn)進(jìn)行預(yù)防、降低和處理。這樣可以減少企業(yè)的經(jīng)濟(jì)損失，也能保障企業(yè)的可持續(xù)發(fā)展。但企業(yè)要落實(shí)管理體系，需要對(duì)管理體系中出現(xiàn)的問題進(jìn)行分析、總結(jié)和改進(jìn)，只有這樣，才能真正發(fā)揮管理體系的作用。