信息安全管理體系建設(shè)論文
信息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo),以及完成這些目標(biāo)所用方法的體系。下面是關(guān)于信息安全管理體系建設(shè)論文的內(nèi)容,歡迎閱讀!
摘要:近年來,隨著行業(yè)一體化“數(shù)字煙草”構(gòu)建要求提高,行業(yè)的信息化建設(shè)進程全面加速,信息化已融入到企業(yè)基礎(chǔ)管理、生產(chǎn)制造、管理創(chuàng)新等諸多業(yè)務(wù)環(huán)節(jié),信息化與工業(yè)化已逐步走向深度融合之路。伴隨著兩化融合的發(fā)展,信息安全問題日益嚴(yán)重,逐漸成為影響業(yè)務(wù)運行、制約企業(yè)發(fā)展的重要因素之一。因此,企業(yè)在開展信息化建設(shè)的同時,必須注重信息安全保障工作。然而保證企業(yè)信息安全不能單純利用技術(shù)手段,必須“技術(shù)”與“管理”并重才能保障企業(yè)信息安全。筆者針對企業(yè)信息安全現(xiàn)狀,依據(jù)國家、行業(yè)相關(guān)標(biāo)準(zhǔn),闡述對企業(yè)信息安全管理體系建設(shè)的理解和看法。
關(guān)鍵詞:信息化;信息安全;安全管理
1、企業(yè)信息安全現(xiàn)狀
近幾年,隨著行業(yè)信息化建設(shè)逐步深入,伴隨著OA辦公自動化、ERP、卷煙生產(chǎn)經(jīng)營決策管理和MES生產(chǎn)制造執(zhí)行等系統(tǒng)相繼投入使用,與生產(chǎn)經(jīng)營息息相關(guān)的關(guān)鍵業(yè)務(wù)對信息系統(tǒng)的依賴程度越來越高,企業(yè)也逐步認(rèn)識到信息安全的重要性,企業(yè)員工的安全意識也都得到逐步提高。行業(yè)也相繼出臺了煙草行業(yè)信息安全保障體系建設(shè)指南和各類信息安全制度,并通過這幾年信息安全檢查工作,促進企業(yè)的信息安全水平得到了進一步提高。
由于企業(yè)信息安全意識不斷提高,企業(yè)不斷加大信息安全方面的投入,如建立標(biāo)準(zhǔn)化的機房、購買與部署各類信息安全軟件和設(shè)備等。但是木馬、病毒、垃圾郵件、間諜軟件、惡意軟件、僵尸網(wǎng)絡(luò)等也隨著計算機技術(shù)的發(fā)展不斷更新,攻擊手段也越發(fā)隱蔽和多樣化。企業(yè)不僅要應(yīng)對外部的攻擊,也要應(yīng)對來自于企業(yè)內(nèi)部的信息安全威脅,安全形勢不容樂觀。企業(yè)的信息安全已不僅僅是技術(shù)問題,還需要借助管理手段來保障。企業(yè)如果不能正確樹立信息風(fēng)險導(dǎo)向意識,一味注重“技術(shù)”的作用,忽略“管理”的重要性,就很難發(fā)揮信息安全技術(shù)的作用,無法把企業(yè)的各項信息安全措施落到實處,企業(yè)的信息安全也就無從談起。只有切實發(fā)揮管理作用,企業(yè)的信息安全才能得到有效保障。
2、企業(yè)信息安全體系架構(gòu)
在談到信息安全時,大多數(shù)剛接觸的人都比較疑惑,都說保障信息安全十分重要,那到底什么是信息安全呢?下面就簡單介紹一下信息安全的概念以及企業(yè)的信息安全體系架構(gòu)。
2.1信息。對企業(yè)來說,信息是一種無形資產(chǎn),具有一定商業(yè)價值,以電子、影像、話語等多種形式存在,必須進行保護。
2.2信息安全。主要是指防止信息泄露、被篡改、被損壞或被非法辨識與控制,避免造成不良影響或者資產(chǎn)損失。
2.3企業(yè)信息安全體系架構(gòu)。在保障企業(yè)信息安全過程中,信息安全技術(shù)是保障信息安全的重要手段。通過上文對企業(yè)信息安全現(xiàn)狀的分析,不難看出企業(yè)信息安全體系主要分為技術(shù)、管理兩個重要體系,進一步細(xì)分則涉及安全運維方面。
2.3.1信息安全技術(shù)體系作用。主要是指通過部署信息安全產(chǎn)品,合理制定安全策略,實現(xiàn)防止信息泄露、被篡改、被損壞等安全目標(biāo)。信息安全產(chǎn)品主要是指實現(xiàn)信息安全的工具平臺,如防火墻類產(chǎn)品、防攻擊類產(chǎn)品、殺毒軟件類產(chǎn)品和密碼類產(chǎn)品等,而信息安全技術(shù)則是指實現(xiàn)信息安全產(chǎn)品的技術(shù)基礎(chǔ)。
2.3.2信息安全管理體系作用。完善信息安全組織機構(gòu)、制度,細(xì)化職責(zé)分工,制定執(zhí)行標(biāo)準(zhǔn),確保日常管理、檢查等制度有效執(zhí)行,最大程度發(fā)揮信息安全技術(shù)體系作用,確保信息安全相關(guān)保護措施有效執(zhí)行。通過上文簡單介紹,對信息安全以及信息安全系統(tǒng)有了大概了解。可以看出單純借助技術(shù)或管理無法保障企業(yè)信息安全,因此,建立企業(yè)信息安全管理體系的重要性也就不言而喻。
3、信息安全管理體系概念
3.1信息安全管理。運用技術(shù)、管理手段,做好信息安全工作整體規(guī)劃、組織、協(xié)調(diào)與控制,確保實現(xiàn)信息安全目標(biāo)。
3.2管理體系。體系是指相互關(guān)聯(lián)和相互作用的一組要素,而管理體系則是建立方針和目標(biāo)并實現(xiàn)這些目標(biāo)的體系。
3.3信息安全管理體系(ISMS)。在一定組織范圍內(nèi)建立、完成信息安全方針和目標(biāo),采取或運用方法的體系。作為管理活動最終結(jié)果,包含方針、原則、目標(biāo)、方法、過程、核查表等眾多要素。
3.4建立信息安全管理體系的目的。作為企業(yè)總管理體系的一個子體系,目的是建立、實施、運行、監(jiān)視、評審、保持和改進信息安全。
3.5信息安全管理體系涉及的要素。
3.5.1信息安全組織機構(gòu)。明確職責(zé)分工,確保信息安全工作組織與落實。
3.5.2信息安全管理體系文件。編制信息安全管理體系的方針、過程、程序和其他必需的文件等。
3.5.3資源。提供體系運轉(zhuǎn)所需的資金、設(shè)備與人員等。
4信息安全管理體系機構(gòu)設(shè)置以及作用
在建立企業(yè)的信息安全管理體系之前,如果沒有設(shè)置相應(yīng)的信息安全組織機構(gòu),那么建立體系所需要的資源(資金、人員等)就無法得到保障,企業(yè)的'信息安全制度和策略也就無法貫徹落實,企業(yè)的信息安全管理體系就形同虛設(shè)起不到任何作用。因此,企業(yè)在建立信息安全管理體系前必須建立健全信息安全組織機構(gòu),機構(gòu)設(shè)置可以根據(jù)職責(zé)分為三個層次。
4.1信息安全決策機構(gòu)。信息安全決策機構(gòu)處于安全組織機構(gòu)的第一個層次,是本單位信息安全工作的最高管理機構(gòu)。應(yīng)以單位主要領(lǐng)導(dǎo)負(fù)責(zé),對信息安全規(guī)劃、信息安全策略和信息安全建設(shè)方案等進行審批,并為企業(yè)信息安全工作提供各類必要資源。
4.2管理機構(gòu)。處于安全組織機構(gòu)的第二個層次,在決策機構(gòu)的領(lǐng)導(dǎo)下,主要負(fù)責(zé)企業(yè)日常信息安全的管理、監(jiān)督以及安全教育與培訓(xùn)等工作,此類工作大部分都由企業(yè)的信息化部門承擔(dān)。
4.3執(zhí)行機構(gòu)。處于信息安全組織機構(gòu)的第三個層次,在管理機構(gòu)的領(lǐng)導(dǎo)下,負(fù)責(zé)保證信息安全技術(shù)體系的有效運行及日常維護,通過具體技術(shù)手段落實安全策略,消除安全風(fēng)險,以及發(fā)生安全事件后的具體響應(yīng)和處理,執(zhí)行機構(gòu)人員可以由信息中心技術(shù)人員與各部門專職或兼職信息安全員組成。
5信息安全管理體系的建立
ISO/IEC27001:200x標(biāo)準(zhǔn)的“建立ISMS”章節(jié)中,已明確了信息安全管理體系建立的10項強制性要求和步驟。企業(yè)應(yīng)結(jié)合自身實際情況,遵照這些內(nèi)容和步驟,建立自己的信息安全管理體系,并形成相應(yīng)的體系文件。
5.1建立的步驟。
。1)結(jié)合企業(yè)實際,明確體系邊界與范圍,并編制體系范圍文件。
(2)明確體系策略,構(gòu)建目標(biāo)框架、風(fēng)險評價的準(zhǔn)則等,形成方針文件。
。3)確定風(fēng)險評估方法。
。4)識別信息安全風(fēng)險,主要包括信息安全資產(chǎn)、責(zé)任、威脅以及造成的后果等。
。5)進行安全風(fēng)險分析評價,編制評估報告,確定信息安全資產(chǎn)保護清單。
。6)明確安全保護措施,編制風(fēng)險處理計劃。
。7)制定工作目標(biāo)、措施。
(8)管理者審核、批準(zhǔn)所有殘余風(fēng)險。
。9)經(jīng)管理層授權(quán)實施和運行安全體系。
。10)準(zhǔn)備適用性聲明。
5.2信息安全管理體系涉及的文件。
文件作為體系的主要元素,必須與ISO/IEC27001:2005標(biāo)準(zhǔn)保持一致,同時也要結(jié)合企業(yè)實際,確保員工遵照要求嚴(yán)格執(zhí)行。而且也要符合企業(yè)的實際情況和信息安全需要。在實際工作中,企業(yè)員工應(yīng)按照文件要求嚴(yán)格執(zhí)行。
5.2.1體系文件類型主要涉及方針、程序與記錄三類。方針類主要是指管理體系方針與信息安全方針,涵蓋硬件、網(wǎng)絡(luò)、軟件、訪問控制等;程序類主要是指“過程文件”,涉及輸入、處理與輸出三個環(huán)節(jié),結(jié)果常以“記錄”形式出現(xiàn);記錄類主要是記錄程序文件結(jié)果,常以是表格形式出現(xiàn)。至于適用性聲明文件,企業(yè)應(yīng)結(jié)合自身情況,參照ISO/IEC27001:200x標(biāo)準(zhǔn)的附錄A,有選擇性地作出聲明,并形成聲明文件。
5.2.2體系必須具備的文件。主要包括方針、風(fēng)險評估、處理、文件控制、記錄控制、內(nèi)部審核、糾正與預(yù)防、控制措施有效性測量、管理評審與適用性聲明等。
5.2.3任意性文件。企業(yè)可以針對自身業(yè)務(wù)、管理與信息系統(tǒng)等情況,制定自己獨有的信息方針、程序類文件。
5.2.4文件的符合性。文件必須符合相關(guān)法律法規(guī)、ISO/IEC27001:2005標(biāo)準(zhǔn)以及企業(yè)實際要求,保證與企業(yè)其他體系文件協(xié)調(diào)一致,避免沖突,同時在文字描述準(zhǔn)確且無二義。
6體系實施與運行
主要包括策略控制措施、過程和程序,涉及制定和實施風(fēng)險處理計劃、選擇控制措施與驗證有效性、安全教育培訓(xùn)、運行管理、資源管理以及安全事件應(yīng)急處理等。
7體系的監(jiān)視與評審
主要指對照策略、目標(biāo)與實際運行情況,監(jiān)控與評審運行狀態(tài),主要涉及有效性評審、控制措施測試驗證、風(fēng)險評估、內(nèi)部審核、管理評審等環(huán)節(jié),并根據(jù)評審結(jié)果編制與完善安全計劃。
8體系的保持和改進
主要是依據(jù)監(jiān)視與評審結(jié)果,有針對性地持續(xù)改進。主要包括改進措施、制定完善措施、整改總結(jié)等,同時需相關(guān)方進行溝通,確保達(dá)到預(yù)計改進標(biāo)準(zhǔn)。
9結(jié)語
從上文不難看出,信息安全管理體系建設(shè)的四個主要環(huán)節(jié)就是建立、實施和運行、監(jiān)視和評審以及保持和改進幾個部分。但是,這不是信息安全管理體系建設(shè)的全部。實際上信息安全管理體系建設(shè)最核心和最關(guān)鍵的部分,就是把建立(P規(guī)劃)、實施和運行(D實施)、監(jiān)視和評審(C檢查)以及保持和改進(A處置)四個重要環(huán)節(jié)形成PDCA的動態(tài)閉環(huán)的管理流程,這種管理方法就是PDCA循環(huán),也稱“戴明環(huán)”。只有按照P-D-C-A的順序持續(xù)循環(huán),體系才能高效運轉(zhuǎn)與不斷完善,信息安全管理水平才能不斷提升。
同時信息安全管理也必須結(jié)合企業(yè)實際,不斷嘗試與使用新的信息安全技術(shù),做到與時俱進,才能符合企業(yè)實際情況和發(fā)展需要,不會隨著時間的推移與現(xiàn)實嚴(yán)重脫節(jié),慢慢失去作用。
【信息安全管理體系建設(shè)論文】相關(guān)文章:
有關(guān)網(wǎng)絡(luò)強國建設(shè)下的信息安全論文12-07
鐵路安全文化建設(shè)論文05-27
安全管理體系制度(通用5篇)05-11
信息化建設(shè)工作簡報12-09
學(xué)生信息素養(yǎng)培養(yǎng)下信息技術(shù)論文04-04
信息安全保密制度09-08
信息化建設(shè)方案匯總七篇05-02
信息化建設(shè)方案模板集錦九篇05-02