- 相關(guān)推薦
信息安全管理體系建設(shè)論文精選
摘要:近年來,隨著行業(yè)一體化“數(shù)字煙草”構(gòu)建要求提高,行業(yè)的信息化建設(shè)進程全面加速,信息化已融入到企業(yè)基礎(chǔ)管理、生產(chǎn)制造、管理創(chuàng)新等諸多業(yè)務(wù)環(huán)節(jié),信息化與工業(yè)化已逐步走向深度融合之路。伴隨著兩化融合的發(fā)展,信息安全問題日益嚴重,逐漸成為影響業(yè)務(wù)運行、制約企業(yè)發(fā)展的重要因素之一。因此,企業(yè)在開展信息化建設(shè)的同時,必須注重信息安全保障工作。然而保證企業(yè)信息安全不能單純利用技術(shù)手段,必須“技術(shù)”與“管理”并重才能保障企業(yè)信息安全。筆者針對企業(yè)信息安全現(xiàn)狀,依據(jù)國家、行業(yè)相關(guān)標準,闡述對企業(yè)信息安全管理體系建設(shè)的理解和看法。
關(guān)鍵詞:信息化;信息安全;安全管理
1、企業(yè)信息安全現(xiàn)狀
近幾年,隨著行業(yè)信息化建設(shè)逐步深入,伴隨著OA辦公自動化、ERP、卷煙生產(chǎn)經(jīng)營決策管理和MES生產(chǎn)制造執(zhí)行等系統(tǒng)相繼投入使用,與生產(chǎn)經(jīng)營息息相關(guān)的關(guān)鍵業(yè)務(wù)對信息系統(tǒng)的依賴程度越來越高,企業(yè)也逐步認識到信息安全的重要性,企業(yè)員工的安全意識也都得到逐步提高。行業(yè)也相繼出臺了煙草行業(yè)信息安全保障體系建設(shè)指南和各類信息安全制度,并通過這幾年信息安全檢查工作,促進企業(yè)的信息安全水平得到了進一步提高。由于企業(yè)信息安全意識不斷提高,企業(yè)不斷加大信息安全方面的投入,如建立標準化的機房、購買與部署各類信息安全軟件和設(shè)備等。但是木馬、病毒、垃圾郵件、間諜軟件、惡意軟件、僵尸網(wǎng)絡(luò)等也隨著計算機技術(shù)的發(fā)展不斷更新,攻擊手段也越發(fā)隱蔽和多樣化。企業(yè)不僅要應(yīng)對外部的攻擊,也要應(yīng)對來自于企業(yè)內(nèi)部的信息安全威脅,安全形勢不容樂觀。企業(yè)的信息安全已不僅僅是技術(shù)問題,還需要借助管理手段來保障。企業(yè)如果不能正確樹立信息風險導向意識,一味注重“技術(shù)”的作用,忽略“管理”的重要性,就很難發(fā)揮信息安全技術(shù)的作用,無法把企業(yè)的各項信息安全措施落到實處,企業(yè)的信息安全也就無從談起。只有切實發(fā)揮管理作用,企業(yè)的信息安全才能得到有效保障。
2、企業(yè)信息安全體系架構(gòu)
在談到信息安全時,大多數(shù)剛接觸的人都比較疑惑,都說保障信息安全十分重要,那到底什么是信息安全呢?下面就簡單介紹一下信息安全的概念以及企業(yè)的信息安全體系架構(gòu)。2.1信息。對企業(yè)來說,信息是一種無形資產(chǎn),具有一定商業(yè)價值,以電子、影像、話語等多種形式存在,必須進行保護。2.2信息安全。主要是指防止信息泄露、被篡改、被損壞或被非法辨識與控制,避免造成不良影響或者資產(chǎn)損失。2.3企業(yè)信息安全體系架構(gòu)。在保障企業(yè)信息安全過程中,信息安全技術(shù)是保障信息安全的重要手段。通過上文對企業(yè)信息安全現(xiàn)狀的分析,不難看出企業(yè)信息安全體系主要分為技術(shù)、管理兩個重要體系,進一步細分則涉及安全運維方面。2.3.1信息安全技術(shù)體系作用。主要是指通過部署信息安全產(chǎn)品,合理制定安全策略,實現(xiàn)防止信息泄露、被篡改、被損壞等安全目標。信息安全產(chǎn)品主要是指實現(xiàn)信息安全的工具平臺,如防火墻類產(chǎn)品、防攻擊類產(chǎn)品、殺毒軟件類產(chǎn)品和密碼類產(chǎn)品等,而信息安全技術(shù)則是指實現(xiàn)信息安全產(chǎn)品的技術(shù)基礎(chǔ)。2.3.2信息安全管理體系作用。完善信息安全組織機構(gòu)、制度,細化職責分工,制定執(zhí)行標準,確保日常管理、檢查等制度有效執(zhí)行,最大程度發(fā)揮信息安全技術(shù)體系作用,確保信息安全相關(guān)保護措施有效執(zhí)行。通過上文簡單介紹,對信息安全以及信息安全系統(tǒng)有了大概了解。可以看出單純借助技術(shù)或管理無法保障企業(yè)信息安全,因此,建立企業(yè)信息安全管理體系的重要性也就不言而喻。
3、信息安全管理體系概念
3.1信息安全管理。運用技術(shù)、管理手段,做好信息安全工作整體規(guī)劃、組織、協(xié)調(diào)與控制,確保實現(xiàn)信息安全目標。
3.2管理體系。體系是指相互關(guān)聯(lián)和相互作用的一組要素,而管理體系則是建立方針和目標并實現(xiàn)這些目標的體系。
3.3信息安全管理體系(ISMS)。在一定組織范圍內(nèi)建立、完成信息安全方針和目標,采取或運用方法的體系。作為管理活動最終結(jié)果,包含方針、原則、目標、方法、過程、核查表等眾多要素。
3.4建立信息安全管理體系的目的。作為企業(yè)總管理體系的一個子體系,目的是建立、實施、運行、監(jiān)視、評審、保持和改進信息安全。
3.5信息安全管理體系涉及的要素。
3.5.1信息安全組織機構(gòu)。明確職責分工,確保信息安全工作組織與落實。
3.5.2信息安全管理體系文件。編制信息安全管理體系的方針、過程、程序和其他必需的文件等。
3.5.3資源。提供體系運轉(zhuǎn)所需的資金、設(shè)備與人員等。
4、信息安全管理體系機構(gòu)設(shè)置以及作用
在建立企業(yè)的信息安全管理體系之前,如果沒有設(shè)置相應(yīng)的信息安全組織機構(gòu),那么建立體系所需要的資源(資金、人員等)就無法得到保障,企業(yè)的信息安全制度和策略也就無法貫徹落實,企業(yè)的信息安全管理體系就形同虛設(shè)起不到任何作用。因此,企業(yè)在建立信息安全管理體系前必須建立健全信息安全組織機構(gòu),機構(gòu)設(shè)置可以根據(jù)職責分為三個層次。4.1信息安全決策機構(gòu)。信息安全決策機構(gòu)處于安全組織機構(gòu)的第一個層次,是本單位信息安全工作的最高管理機構(gòu)。應(yīng)以單位主要領(lǐng)導負責,對信息安全規(guī)劃、信息安全策略和信息安全建設(shè)方案等進行審批,并為企業(yè)信息安全工作提供各類必要資源。4.2管理機構(gòu)。處于安全組織機構(gòu)的第二個層次,在決策機構(gòu)的領(lǐng)導下,主要負責企業(yè)日常信息安全的管理、監(jiān)督以及安全教育與培訓等工作,此類工作大部分都由企業(yè)的信息化部門承擔。4.3執(zhí)行機構(gòu)。處于信息安全組織機構(gòu)的第三個層次,在管理機構(gòu)的領(lǐng)導下,負責保證信息安全技術(shù)體系的有效運行及日常維護,通過具體技術(shù)手段落實安全策略,消除安全風險,以及發(fā)生安全事件后的具體響應(yīng)和處理,執(zhí)行機構(gòu)人員可以由信息中心技術(shù)人員與各部門專職或兼職信息安全員組成。
5、信息安全管理體系的建立
ISO/IEC27001:2005標準的“建立ISMS”章節(jié)中,已明確了信息安全管理體系建立的10項強制性要求和步驟。企業(yè)應(yīng)結(jié)合自身實際情況,遵照這些內(nèi)容和步驟,建立自己的信息安全管理體系,并形成相應(yīng)的體系文件。
5.1建立的步驟。
(1)結(jié)合企業(yè)實際,明確體系邊界與范圍,并編制體系范圍文件。
(2)明確體系策略,構(gòu)建目標框架、風險評價的準則等,形成方針文件。
(3)確定風險評估方法。
(4)識別信息安全風險,主要包括信息安全資產(chǎn)、責任、威脅以及造成的后果等。(5)進行安全風險分析評價,編制評估報告,確定信息安全資產(chǎn)保護清單。
(6)明確安全保護措施,編制風險處理計劃。
(7)制定工作目標、措施。
(8)管理者審核、批準所有殘余風險。
(9)經(jīng)管理層授權(quán)實施和運行安全體系。
(10)準備適用性聲明。以上步驟解釋不詳盡之處,參看ISO/IEC27001:20054.2.1章節(jié)中A-J部分。
5.2信息安全管理體系涉及的文件。
文件作為體系的主要元素,必須與ISO/IEC27001:2005標準保持一致,同時也要結(jié)合企業(yè)實際,確保員工遵照要求嚴格執(zhí)行。而且也要符合企業(yè)的實際情況和信息安全需要。在實際工作中,企業(yè)員工應(yīng)按照文件要求嚴格執(zhí)行。
5.2.1體系文件類型主要涉及方針、程序與記錄三類。方針類主要是指管理體系方針與信息安全方針,涵蓋硬件、網(wǎng)絡(luò)、軟件、訪問控制等;程序類主要是指“過程文件”,涉及輸入、處理與輸出三個環(huán)節(jié),結(jié)果常以“記錄”形式出現(xiàn);記錄類主要是記錄程序文件結(jié)果,常以是表格形式出現(xiàn)。至于適用性聲明文件,企業(yè)應(yīng)結(jié)合自身情況,參照ISO/IEC27001:2005標準的附錄A,有選擇性地作出聲明,并形成聲明文件。5.2.2體系必須具備的文件。主要包括方針、風險評估、處理、文件控制、記錄控制、內(nèi)部審核、糾正與預(yù)防、控制措施有效性測量、管理評審與適用性聲明等。
5.2.3任意性文件。企業(yè)可以針對自身業(yè)務(wù)、管理與信息系統(tǒng)等情況,制定自己獨有的信息方針、程序類文件。
5.2.4文件的符合性。文件必須符合相關(guān)法律法規(guī)、ISO/IEC27001:2005標準以及企業(yè)實際要求,保證與企業(yè)其他體系文件協(xié)調(diào)一致,避免沖突,同時在文字描述準確且無二義。
6、體系實施與運行
主要包括策略控制措施、過程和程序,涉及制定和實施風險處理計劃、選擇控制措施與驗證有效性、安全教育培訓、運行管理、資源管理以及安全事件應(yīng)急處理等。
7、體系的監(jiān)視與評審
主要指對照策略、目標與實際運行情況,監(jiān)控與評審運行狀態(tài),主要涉及有效性評審、控制措施測試驗證、風險評估、內(nèi)部審核、管理評審等環(huán)節(jié),并根據(jù)評審結(jié)果編制與完善安全計劃。
8、體系的保持和改進
主要是依據(jù)監(jiān)視與評審結(jié)果,有針對性地持續(xù)改進。主要包括改進措施、制定完善措施、整改總結(jié)等,同時需相關(guān)方進行溝通,確保達到預(yù)計改進標準。
9、結(jié)語
從上文不難看出,信息安全管理體系建設(shè)的四個主要環(huán)節(jié)就是建立、實施和運行、監(jiān)視和評審以及保持和改進幾個部分。但是,這不是信息安全管理體系建設(shè)的全部。實際上信息安全管理體系建設(shè)最核心和最關(guān)鍵的部分,就是把建立(P規(guī)劃)、實施和運行(D實施)、監(jiān)視和評審(C檢查)以及保持和改進(A處置)四個重要環(huán)節(jié)形成PDCA的動態(tài)閉環(huán)的管理流程,這種管理方法就是PDCA循環(huán),也稱“戴明環(huán)”。只有按照P-D-C-A的順序持續(xù)循環(huán),體系才能高效運轉(zhuǎn)與不斷完善,信息安全管理水平才能不斷提升。同時信息安全管理也必須結(jié)合企業(yè)實際,不斷嘗試與使用新的信息安全技術(shù),做到與時俱進,才能符合企業(yè)實際情況和發(fā)展需要,不會隨著時間的推移與現(xiàn)實嚴重脫節(jié),慢慢失去作用。
【信息安全管理體系建設(shè)論文】相關(guān)文章:
企業(yè)信息安全管理體系構(gòu)建的要點與策略論文06-29
民航空管網(wǎng)絡(luò)與信息安全管理體系的構(gòu)建論文07-03
智能電網(wǎng)信息安全防護建設(shè)初探論文10-16
網(wǎng)站群建設(shè)中的信息安全分析論文08-01
如何建設(shè)信息化的全面預(yù)算管理體系08-13
煤礦安全管理體系的缺失分析論文07-04
論文客戶管理體系10-05