摘 要:隨著資訊技術的不斷應用,資訊保安管理已經逐漸成為各企業或各機構管理體系的重要組成部分。瞭解資訊保安對企業發展的重要性,制定科學合理的方案構建完善的資訊保安管理體系,是當前企業發展中需要解決的問題之一。
關鍵詞:資訊;管理體系;安全
一、概述
資訊保安管理是指在資訊的使用、儲存、傳輸過程中做好安全保護工作,保持資訊的保密性、完整性和可用性。其中,保密性是指保障資訊僅能被具有使用許可權的人獲取或使用;完整性指為資訊及其處理方法的準確性和完整性提供保護措施;可用性則指使用許可權的人可在需要時獲取和使用相關的資訊資產。因此,做好資訊保安管理體系的研究對於提升資訊的安全性具有現實意義。
二、資訊保安管理體系
2.1 資訊保安管理體系介紹 根據網路安全相關統計表明,網路資訊保安事故中由於管理問題導致出現安全事故的高達70%以上,因此解決網路資訊的安全問題,除從技術層面進行改進外,還應加強網路資訊的安全管理力度。資訊保安管理體系的建設是一項長期的、系統的、複雜的工程,在建設資訊保安管理體系時,應對整個網路系統的各個環節進行綜合考慮、規劃和構架,並根據各個要素的變化情況對管理體系進行必要的調整,任何環節存在安全缺陷都可能會影響整個體系的安全。
2.2 資訊保安管理體系的功能 資訊保安管理是指導企業對於資訊保安風險相互協調的活動,這種指導性活動主要包括資訊保安方針的制定、風險評估、安全保障、控制目標及方式選擇等。企業要實現對資訊資產進行安全、高效、動態的管理,就需要建立科學、完善、標準的資訊保安管理體系。因此,一個有效的資訊保安管理體系應該具備以下功能:對企業的重要資訊資產進行全面的保護,維持企業的競爭優勢;使企業能在預防和持續發展的觀點上處理突發事件,當資訊系統受到非法入侵時,能使相關的業務損失降到最低,並能維持基本的業務開展;使企業的合作伙伴和客戶對企業充滿信心;能使企業定期對系統進行更新和控制,以應對新的安全威脅。
三、資訊保安管理體系的構建
3.1 資訊保安管理框架的建立
資訊保安管理框架是建設資訊保安管理體系的基礎和參照依據,企業應根據自身的生產情況或經營情況搭建適合企業自身發展的資訊保安管理框架,並在具體的業務開展中對各安全管理制度進行實施,並建立各種與資訊保安管理構架相一致的檔案或文件,記錄資訊保安管理體系實施過程中出現的安全事件和異常狀況,為後期建立嚴格的反饋制度提供參考。
3.1.1 資訊保安管理策略。企業應制定資訊保安管理策略,為企業的資訊保安管理提供方向和依據。對於企業來說,不僅要建立總體的安全策略,還應在此基礎上,根據風險評估結果,制定更加詳細、具體、具有可行性的安全方針,對各部門及各職員的職責進行明確的劃分和控制。如訪問控制策略、桌面清理策略、螢幕清除策略等。
3.1.2 範圍劃分。企業應根據企業自身的特性,結合企業所在的地理位置、資產和技術等對資訊保安管理體系的範圍進行科學界定。一般來說,企業資訊保安管理體系包括的專案主要有資訊系統、資訊資產、資訊科技、實物場所等。
3.1.3 風險評估。 企業需要對風險評估和管理方案進行科學選擇,在選擇時應根據企業自身的實際情況進行規範評估,對目前所面臨的資訊保安風險和風險等級進行準確識別。企業的資訊資產是風險評估的主要物件,評估時應考慮的因素有資產所受到的威脅、薄弱點及受到攻擊後對企業的影響。風險評估的方法有多種,但無論選擇哪種評估工具,其最終的評估結果是一致的。
3.1.4 風險管理。企業應根據資訊保安策略和所要求的安全程度,對要管理的風險內容進行識別。風險管理主要是風險控制,企業可採取一定的安全措施,將風險降低到企業可接受的水平。除降低風險外,還可通過轉移風險、規避風險的方法維護企業資訊資產的安全。對於資訊資產來說,風險並不是一成不變的,當企業發生變化、過程發生更改、技術進行革新或新風險出現後,原有的風險就會隨之發生變化,這種變化也是對風險進行管理的重要參考。
3.1.5 控制方式的選擇。風險評估後,企業應從已有的安全技術中尋求有效的控制方法降低已識別的風險,控制方式還可包括一些額外的控制,如企業新增加的控制方式或其他法律法規所要求的控制方式。
3.1.6 適用性宣告。資訊保安適用性宣告主要是對企業內風險管理目標、針對每種風險所採取的控制措施等內容改進記錄,這種記錄的主要目的是企業向內部員工表明資訊保安管理的'重要性,同時也是企業向外部表明企業對資訊保安及風險的態度和作為。
3.2 管理構架的實施 資訊保安管理體系(ISMS)框架的構建只是建設資訊保安管理體系的第一步,而框架的實施才是構建ISMS的重要步驟。在實施ISMS過程中,應對管理體系、實施的具體費用、企業職工的工作習慣、不同部門之間的合作等各個要素進行綜合考慮。企業可按照既定目標和實施方式對資訊的安全性進行有效控制,這種有效性主要通過兩方面指標體現,一是控制活動執行的嚴格性;二是活動的結果與既定目標的一致性。
3.3 資訊保安管理的文件化 在資訊保安管理體系的建設和實施過程中,應建立相關的檔案和文件,對ISMS管理範圍、管理框架、控制方式、具體操作過程等進行記錄備案。在對文件進行管理時,可根據文件的型別和重要性對其等級劃分,並根據企業業務和規模的變化,對文件進行定期的修正和補充;而對於一些不再具有參考價值的文件,可定期進行廢棄處理。
四、總結
隨著資訊時代的到來,資訊在企業發展中的作用越來越強大,並且已經成為企業的一種重要資產,對於企業資訊資產來說,做好資訊的安全管理工作,對於企業的發展具有重要意義。在建立資訊保安管理體系時,應對管理框架、管理範圍、管理方式等內容進行科學選擇,並做好相關的文件記錄,為後期資訊保安管理體系的進一步優化提供參考。
參考文獻:
[1]高文濤.國內外資訊保安管理體系研究[J].電腦保安,2008(12):95-97.
[2]李慧.資訊保安管理體系研究[D].西安電子科技大學,2005.
[3]王海軍.網路資訊保安管理體系研究[J].資訊網路安全,2008(3):47-48.