信息安全管理策略分析-论文
信息安全课题研究论文(五篇):信息系统管理中信息安全论文、高校网络信息安全论文…
信息安全课题研究论文(五篇)内容提要:1、信息系统管理中信息安全论文2、高校网络信息安全论文3、铁路信息安全论文4、互联网时代计算机信息安全论文5、图书馆建设信息安全论文全文总字数:10529 字篇一:信息系统管理中信息安全论文信息系统管理中信息安全论文1信息系统管理中信息安全风险概况信息系统的风险性可以分为人为性风险和非人为性风险,非人为性风险主要包括环境和系统风险。
信息系统的脆弱性主要包括硬件、软件、管理以及运行环境等四个方向,从硬件方向讲,指硬件设备存在的漏洞和缺陷。
从软件方向讲,在信息系统的研发过程中所产生的错误信息,进而导致系统出现漏洞,对安全造成严重危害。
从管理方面讲,是指在日常管理和应急预案管理的过程中存在问题。
从运行环境方面讲,指的是办公室、计算机房、温度、湿度以及照明条件等情况导致的系统漏洞。
2信息系统管理中信息安全风险评估方法2.1信息安全风险评估内容信息安全风险评估的主要内容包括评估资产的威胁性和脆弱性,对已有安全措施进行风险评估分析。
信息资产是指对信息资源产生一定利用价值的总称,是信息安全评估中的重点保护对象,主要分为人员、数据、软件和硬件等资源,根据各种资源的完整性、保密性以及可用性进行等级划分,评估组织系统中资产的威胁性,包括直接威胁和间接威胁等,根本目的在于对安全风险需求的分析,建立风险防范措施,有效降低信息安全的威胁性因素。
2.2风险评估方法信息系统管理中的信息安全风险评估方法较多,本文主要从人工评估法和定性评估法两方面进行分析。
人工评估法。
又称为手工评估法,是指在整个风险评估的过程中,运用人工作业的形式进行信息安全风险评估,通过对资产、投资成本的风险的安全需求、威胁性、脆弱性以及安全措施等,进行有效评估,根据其风险效益制定出与之相对应的决策。
定性评估法。
定性评估法是根据专业机构以及专家等对风险的判断分析,属于一种相对主观的评估方法,该评估方法偏向于关注风险带来的损失,忽略了风险的发生频率。
信息系统安全管理策略研究
信息系统安全管理策略研究第一章绪论信息系统是现代社会的重要组成部分,它支撑着政府、企业、个人等各类主体的日常工作,因此信息系统的安全管理备受关注。
信息系统安全管理涉及多个方面,如技术、管理、法律等,只有综合应对各个方面的挑战,才能实现信息系统的全面安全保障。
本文就是一篇针对信息系统安全管理策略进行研究的文章,旨在探索有效的信息系统安全管理方法。
第二章信息系统安全威胁分析2.1 物理安全威胁信息系统的物理安全威胁主要来自于设备损坏、误操作等方面,这些威胁可能会导致信息泄露、系统瘫痪等严重后果。
为了应对这些威胁,信息系统管理者需要加强对系统设备的管理和维护,确保系统的稳定运行。
2.2 技术安全威胁技术安全威胁主要来自于病毒、黑客攻击、网络钓鱼等方面,这些威胁可能会导致信息泄露、系统瘫痪等严重后果。
为了应对这些威胁,信息系统管理者需要加强系统的安全防护措施,如安装杀毒软件、防火墙等,同时要定期检查系统漏洞并及时修复。
2.3 人为安全威胁人为安全威胁主要来自于员工的不当操作、故意破坏等方面,这些威胁可能会导致信息泄露、系统瘫痪等严重后果。
为了应对这些威胁,信息系统管理者需要加强对员工的培训和管理,并严格落实权限控制制度,避免员工滥用权限。
第三章信息系统安全管理策略3.1 制定安全管理制度信息系统安全管理制度是保障信息系统安全的基础。
制定安全管理制度需要明确各职责、权限和流程,并建立相应的制度文件和规范。
同时,还需要积极开展安全管理宣传和教育,提高员工的安全意识和技能。
3.2 加强安全防护措施信息系统安全防护措施是保障信息系统安全的重要手段。
加强安全防护措施需要从多个方面入手,如网络安全、数据安全、设备安全等,通过采取防范措施、技术支持和安全培训等方式加强安全防护,提高信息系统的安全性。
3.3 定期演练应急响应方案应急响应方案是信息系统安全管理的重要组成部分。
定期进行演练可以帮助信息系统管理者及时发现和解决问题,提前做好应对措施,减少安全事故对系统的影响。
信息安全管理措施分析
信息安全管理措施分析随着信息技术的快速发展,数字化时代的到来,信息安全问题日益突出,成为各个领域关注的焦点。
本文将对信息安全管理措施进行全面分析,从技术、组织和法律等多个角度探讨如何有效保护信息安全。
一、技术层面的安全管理措施在信息系统中,技术层面的安全管理措施是保障信息安全的关键。
首先,建立完善的网络安全防护系统是基础。
通过网络防火墙、入侵检测系统等技术手段,对恶意攻击进行监测和拦截。
其次,加密技术的使用也是重要手段。
对重要信息进行加密处理,保证信息的安全传输和储存。
此外,定期进行系统漏洞扫描和安全评估,修复系统漏洞,提升系统的安全性。
二、组织层面的安全管理措施除了技术手段,组织层面的安全管理措施同样重要。
首先,建立信息安全管理团队,负责信息安全策略的制定和实施。
其次,制定信息安全管理制度和相关政策,明确员工在信息处理中的责任和义务。
另外,开展信息安全教育培训,提升员工的安全意识和技能。
最后,建立信息安全事件响应机制,及时应对和处置意外事件。
三、法律层面的安全管理措施法律层面的安全管理措施对于保障信息安全具有重要意义。
各国政府应制定和完善信息安全相关法律法规,要求企业和机构加强信息安全保护。
对于恶意攻击和侵权行为,依法追究责任,保护个人和企业的合法权益。
此外,加强国际合作,建立信息安全的国际标准和规范,共同维护全球信息安全。
四、应对信息泄露的管理措施信息泄露是信息安全面临的一大挑战。
为了有效应对信息泄露,首先需要建立合理的权限管理机制,确保各个人员只能访问其所需信息。
其次,加强数据备份和恢复措施,及时发现和处理异常情况。
此外,建立健全的监测机制,对异常数据流量和访问进行监控和追踪,及时发现和处置异常行为。
五、云计算安全的管理措施随着云计算的普及,云计算安全问题日益重要。
对于云计算的安全管理,首先要选择可信赖的云服务提供商。
其次,强化数据隔离和访问控制,确保用户数据的安全性和隐私性。
另外,建立合理的云计算安全策略,及时更新软件补丁,防范云端攻击和恶意软件。
企业信息安全管理策略研究
企业信息安全管理策略研究随着信息科技的快速发展,企业所涉及的信息也随之急速增加,信息安全管理已成为企业管理的重要组成部分。
企业信息安全管理策略,是指企业制定和实施保护信息安全的措施、方法和标准的总体安全规划,是企业信息安全管理工作的指导方针和保障体系。
一、信息安全风险评估企业信息安全管理策略的第一步是进行信息安全风险评估。
企业应该全面分析和评估各种信息安全风险,从技术、管理和人员等多个角度考虑,以识别潜在的威胁和漏洞,明确信息安全的目标和需求,及时调整企业信息安全管理策略。
同时,企业还需要制定相应的应急预案,以备不时之需。
二、制定信息安全策略企业在制定信息安全策略时,应该考虑:数据的机密性、完整性和可用性;员工的权限管理;网络安全管理;电子邮件、文件传输和云存储的安全;移动设备的安全管理等方面。
制定合理的信息安全策略可以有效地降低信息安全风险,提高企业信息安全管理水平。
三、加强信息安全意识培训企业要实现信息安全管理的全面覆盖,离不开员工的积极配合。
因此,企业需要加强信息安全意识的培训,提高员工的信息安全意识和素质,增强员工对企业信息资产安全的保护意识,减少人为失误和安全漏洞。
四、建立信息安全管理制度企业需要建立信息安全管理制度,通过制度规范的方式,明确责任和权限,确保信息安全管理体系的顺利运行。
企业应该建立管理制度、技术规范、流程控制等多种方式来实现信息安全管理制度的全面覆盖。
五、实施信息安全监控企业应该实施信息安全监控,建立安全事件管理和安全事件应急处理的机制,及时发现和处理安全事件,保障企业信息资产的安全。
通过信息安全监控机制,企业可以监测网络运行状态,发现异常和风险,并及时采取措施防范风险,保障企业信息安全。
六、加强第三方服务管理企业在业务拓展中,有可能需要依赖第三方服务提供商,因此企业需要加强第三方服务管理,明确服务商的安全管理标准和要求,确保服务商能够有效的保障企业信息资产的安全。
同时,企业应该建立第三方服务风险评估机制,及时监测风险,减少企业风险。
信息安全管理与策略
信息安全管理与策略信息安全是在现代社会中至关重要的方面,随着技术的不断发展和普及,保护个人和机构的数据和信息安全变得越来越重要。
信息安全管理和策略是确保信息和数据得到适当保护的关键因素。
本文将探讨信息安全管理和策略的重要性,并提供一些有效的措施来确保信息安全。
一、信息安全管理的重要性信息安全管理是为了保护个人和机构的数据和信息免受未经授权的访问、使用、披露、破坏和篡改,以防止信息泄露、数据丢失、网络攻击和其他安全威胁的一系列工作和措施。
以下是信息安全管理的重要性:1. 保护个人隐私和机构机密信息:信息安全管理确保个人和机构的敏感信息不会落入未经授权的人员手中,避免个人隐私泄露和机构机密信息被窃取。
2. 防止数据丢失和损坏:信息安全管理通过备份和灾难恢复计划等措施,保护数据免受丢失、损坏和不可用的风险,确保数据的可靠性和完整性。
3. 阻止网络攻击:信息安全管理应对各种网络攻击,如恶意软件、病毒和网络钓鱼等,保护信息系统和网络免受攻击,降低安全风险。
4. 遵循法律法规和合规要求:信息安全管理确保个人和机构在处理信息时遵循适用的法律法规和合规要求,避免因违反规定而面临法律风险和罚款。
二、信息安全管理的策略为了有效地实施信息安全管理,需要制定适合个人和机构需求的策略。
以下是一些常用的信息安全管理策略:1. 访问控制和权限管理:设定不同层级的权限,确保只有授权人员可以访问敏感信息和系统资源。
2. 数据加密:对敏感数据进行加密,保护数据在传输和存储过程中的安全性。
3. 定期备份和灾难恢复:定期备份数据并制定灾难恢复计划,以防止数据丢失和系统崩溃。
4. 安全审计和监测:建立安全审计和监测机制,对系统和网络进行定期检查,发现可能的安全漏洞和异常活动。
5. 员工教育和意识培训:加强员工对信息安全的教育和意识培养,提高他们的信息安全意识和防范能力。
6. 强化密码策略:制定强密码策略,要求员工使用复杂的密码,并定期更换密码。
信息安全管理论文6篇
信息安全管理论文6篇第一篇:地市公司信息安全建设和应用1建设目标1.1信息安全技术保障体系建设理念信息安全是企业安全运行的重要一环,而信息安全技术又是信息安全的关键。
信息安全技术保障体系建设,应牢固树立“安全第一、预防为主、综合治理”的安全理念,着力构建起立足当前、着眼长远的目标理念。
在信息安全技术保障体系的构建方面,应突出坚持以下四个原则。
(1)“三同步”原则以信息安全贯穿于信息系统全生命周期的思路为指导,始终坚持信息安全建设与信息化建设同步规划、同步建设、同步运行的“三同步”原则,确保信息安全工作的主动防御性。
(2)以人为本与精益化管理相结合原则工作中,突出“以人为本”的同时,应注重与“精益化管理”相融合,把认真负责的工作态度贯穿于工作始终,努力做到“精、细、实”。
(3)全面防范与突出重点相结合原则全面防范是保障信息系统安全的关键。
首先,可根据人员、管理、技术等情况,在预警、保护、检测、反应、恢复和跟踪等多个环节上实施全面防御,防患于未然。
其次,在全面分析的基础上,找准事故“易发点”,实施重点防御。
(4)系统性与动态性相结合原则信息安全管理是一项系统工程。
要按照系统工程的要求,注意各方面、各层次、各时期的相互协调、匹配和衔接,体现出系统集成效果和前期投入的收益。
同时,信息安全管理又是一种状态的动态反馈过程,应随着安全利益和系统脆弱性的时空分布的变化、威胁程度的提高、系统环境的演变以及管理人员对系统安全认识的不断深化等,及时将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升管理等级。
1.2信息安全技术保障体系建设范围和目标1.2.1信息安全技术保障体系建设范围信息安全技术保障体系,包括保护、检测、响应、审计等多种技术。
防御领域覆盖地市供电公司信息内、外网网络边界、网络基础设施、终端计算环境以及支撑性基础设施建设。
[1](1)网络边界防御体系建设。
通过确定不同资产的安全等级和防护等级,以采用适合的边界防护技术。
校园网络信息安全及策略分析论文
校园网络信息安全及策略分析论文[摘要]高校信息化使所要处理的相关信息也在迅速地扩大,因此各高校都在加强网络信息平台的建设,尤其是校园网的建设,以此来管理数量庞大的信息。
校园网络安全问题也因此成为各高校在信息化建设中面临的重大问题之一。
针对高校网络的现状及问题提出了相应的安全评估和安全控制策略。
[关键词]校园网安全分析解决方案一、校园网络安全隐患综合分析1.物理层的安全问题校园网需要各种设备的支持,而这些设备分布在各种不同的地方,管理困难。
其中任何环节上的失误都有可能引起校园网的瘫痪,如室外通信光缆、电缆等,分布范围广,不能封闭式管理;室内设备也可能发生被盗、损坏等情况。
物理层的安全问题是指由于网络设备的放置不合适或者防范措施不得力,使得网络设备,光缆和双绞线等遭受意外事故或人为破坏,造成校园网不能正常运行。
物理安全是制订校园网安全解决方案时首先应考虑的问题。
2.系统和应用软件存在的漏洞威胁在校园网中使用的操作系统和应用软件千差万别,这些威胁,而且网络用户滥用某些共享软件也会导致计算机可能成为黑客攻击校园网的后门。
3.计算机病毒入侵和黑客攻击计算机病毒是校园网安全最大的威胁因素,有着巨大的破坏性。
尤其是通过计算机网络传播的病毒,其传播速度快、影响大、杀毒难等都不是单机病毒所能相比的。
校园网在接入Internet 后,便面临着内部和外部黑客双重攻击的危险,尤以内部攻击为主。
由于内部用户对网络的结构和应用模式都比较了解,特别是在校学生,学校不能有效的规范和约束学生的上网行为,学生会经常的监听或扫描学校网络,因此来自内部的安全威胁更难应付。
4.内部用户滥用网络资源校园网内部用户对校园网资源的滥用,有的校园网用户利用校园网资源提供视频、音频、软件等资源下载,占用了大量的网络带宽。
特别是近几年兴起的BT、电骡等的泛滥使用占用了大量的网络带宽,给正常的校园网应用带来了极大的威胁。
二、采取安全控制策略1.硬件安全策略硬件安全是网络安全最重要的部分,要保证校园网络正常,首先要保证硬件能够正常使用。
信息安全策略分析
信息安全策略分析信息安全是当前网络技术领域非常重要的一个话题,也是整个企业管理过程中必须要重视的问题。
在信息技术高度发达的时代,信息安全不仅仅关乎企业的存活和发展,也关系到个人的隐私和财产安全。
因此,企业必须采取相应的信息安全策略,防范信息泄露和侵犯,维护企业和个人的利益和尊严。
本文将就信息安全策略进行分析和探讨。
一、信息安全意义的重要性信息是企业存活和发展的生命线,也是个人隐私和财产的重要保障。
随着科技的发展和互联网的普及,各种信息行业得到了迅速的发展,但在信息获取和快速传播的同时,也存在一定的隐患和风险。
信息安全策略的意义在于防范、控制和降低这种风险。
首先,信息安全能够大范围地避免黑客攻击和病毒侵袭,保护企业和个人的信息安全和隐私。
其次,信息安全能够避免意外情况和非法入侵,维护企业的产权和形象,保护个人的财产和知识产权。
再次,信息安全能够规范企业流程和管理,提高效率和效益。
最后,信息安全能够提升企业在市场上的竞争力,赢得客户和合作伙伴的信任和尊重。
因此,企业和个人必须重视信息安全策略,建立相应的信息安全体系,付出相应的投入和成本,保障企业和个人的合法权益和形象。
二、信息安全策略目标的制定信息安全策略是企业安全管理的一部分,其目的是为了保护企业和个人的信息安全、维护企业形象和产权、降低风险和提高效率和效益。
在实现这些目标的过程中,企业应该根据其自身的特点和需求,制定符合自己实际情况的信息安全策略。
首先,制定优势合理的信息安全制度和规则,明确信息处理的安全要求。
制定比如说:各类应用信息及系统保密及安全管理规定,办公设备信息管理规定,指令管理规定,手写签名保护管理规定等等。
其次,重视信息采集和处理的技术保障,从技术上保证信息的安全传输和储存。
比如采取密码保护、数据备份和恢复技术、加密传输技术等等。
再次,建立适当的信息保障机制和管理体系,预防信息泄露和侵犯风险。
比如人工管理、技术管理和流程管理等等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国某某某某学校学生毕业设计(论文)题目: 信息安全管理策略分析姓名: 00000000班级、学号 : 0000000000000系 (部) : 经济管理系专业 : 信息管理指导教师 : 00000000000开题时间 : 2008-11-1完成时间 : 2009-11-42009年11月4日目录课题信息安全管理策略分析一、课题(论文)提纲二、内容摘要三、参考文献信息安全管理策略分析000000000中文摘要:人们对信息的依赖日益增强,信息安全管理成了保障信息安全的关键。
在信息安全保障的三大要素(人员、技术、管理)中,管理要素的地位和作用越来越受到重视。
理解并重视管理对信息安全的关键作用,对于真正实现信息安全目标来说尤其重要。
本文介绍了信息安全、信息安全管理的涵义及重要性,分析了信息安全管理的现状及存在的问题,并着重讨论了加强信息安全管理的策略。
关键词:信息安全;管理;现状;策略0.引言随着Intemet应用的不断深入和电子商务、电子政务的不断发展,人们在日常生活、经济、军事、科技与教育等各个领域,对信息和信息系统依赖日益增强。
然而,安全一直是信息系统面临的严重问题。
早期,信息安全关注于技术方面,但实践证明,信息安全只靠技术是远远不够了,信息安全绝对不仅仅是技术的问题,它的解决涉及到规章制度、组织运行、技术应用等方方面面,任何单方面安全的措施都不可能提供真正的全方位的安全,信息安全问题的解决更应该站在系统工程的角度来考虑。
在这项系统工程中,信息安全管理占有重要的地位。
1.信息安全及信息安全管理概述1.1信息安全概述1.1.1信息安全的定义信息安全是个古已有之的话题,长期以来,人们往往把信息理解为军事、政治、经济等社会生活中的情报,而信息安全也往往被理解为情报的真实、保密。
现代意义上的信息安全概念形成电子通讯技术,特别是数字技术问世之后,其内涵随着现代信息技术发展与应用逐步丰盈。
现代信息安全的基本内涵最早由信息技术安全评估标准定义。
阐述和强调了信息安全的三元组目标,即保密性、完整性和可用性。
这一界定获得了业界的公认,成为现代意义上的信息安全的基本内涵。
近来,国内外很多学者从通信、电子商务、电子政务等方面的应用出发,主张在三元目标的基础上,信息安全的内涵还应该包含可控制性、非抵赖性、可追溯性和真实性等属性,这些都是对三元目标的细化、补充和加强。
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。
1.1.2信息安全的重要性信息安全本身包括的范围很大。
大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。
网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、信息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。
信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。
从文献中了解一个社会的内幕,早已是司空见惯的事情。
不管是机构还是个人,正把日益繁多的事情托付给计算机来完成。
敏感信息正经过脆弱的通信线路在计算机系统之间传送,专用信息在计算机内存储或在计算机之间传送,电子银行业务使财务账目可通过通信线路查阅,执法部门从计算机中了解罪犯的前科,医生们用计算机管理病历,所有这一切,最重要的问题是不能在对非法(非授权)获取(访问)不加防范的条件下传输信息。
信息在存储、处理和交换过程中,都存在泄密或被截收、窃听、窜改和伪造的可能性。
不难看出,单一的保密措施已很难保证通信和信息的安全,必须综合应用各种保密措施,即通过技术的、管理的、行政的手段,实现信源、信号、信息三个环节的保护,藉以达到秘密信息安全的目的。
信息安全所面临的各类风险,必须引起各方面的高度重视。
1.2信息安全管理概述1.2.1信息安全管理的定义信息安全管理是指导和控制组织的关于信息安全风险的相互协调,关于信息安全风险的指导和控制活动通常包括制定信息安全方针、风险评估控制目标与方式选择、风险控制、安全保证等。
而要对组织的信息的安全性进高效的、动态的管理就必须依据信息安全管理模型和信息安全管理标准构建组织信息安全管理体系。
在ISO/IEC17799中信息安全管理体系可以被理解为是组织管理体系的一部分,专门用于组织的信息资产风险管理,确保组织的信息安全包括为制定、实施、评审和保持信息安全方针所需要的组织机构、目标、职责、程序、过程和资源。
信息安全管理体系中包含很多的“反馈环路”。
这些“反馈环路”可以对系统的安全性进行监测和控制,以此使组织的残余风险最小化,确保组织满足客户和法律的要求。
1.2.2信息安全管理的重要性信息安全管理是随着信息和信息安全的发展而发展的。
在信息社会中,一方面信息已经成为人类的重要资产,在政治、经济、军事、教育、科技、生活等方面发挥着重要作用,另一方面由于计算机技术的迅猛发展而带来的信息安全问题正变得日益突出。
由于信息具有易传播、易扩散、易损毁的特点,信息资产比传统的实物资产更加脆弱,更容易受到损害,这样将使组织在业务运作过程中面临巨大的风险。
这种风险主要来源于组织管理、信息系统、信息基础设施等方面的固有薄弱环节和漏洞,以及大量存在于组织内外的各种威胁,因此对信息系统需要加以严格管理和妥善保护,信息安全管理也随之产生。
当前,认真分析信息安全面临的新形式,尽快采取措施建立健全信息安全管理体系,是信息安全面临的重大课题。
2.信息安全管理的现状及问题2.1信息安全管理的现状我国的改革开放带来了各方面信息量的急剧增加,并要求大容量、高效率地传输这些信息。
为了适应这一形势,通信技术发生了前所未有的爆炸性发展。
目前,除有线通信外,短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。
与此同时,国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息,运用侦察台、侦察船、卫星等手段,形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网,截取我通信传输中的信息。
我国已初步建成了国家信息安全组织保障体系。
国务院信息办专门成立了网络与信息安全领导小组,各省、市、自治州也设立了相应的管理机构。
制定了一系列必需的信息安全管理的法律法规。
2.2我国在宏观信息安全管理方面的问题(1)法律法规问题。
健全的信息安全法律法规体系是确保国家信息安全的基础,是信息安全的第一道防线。
我国已建立了法律、行政法规与部门规章及规范性文件等三个层面的有关信息安全的法律法规体系,对组织与个人的信息安全行为提出了安全要求。
但是我国的法律法规体系还存在缺陷,一是现有的法律法规存在不完善的地方,如法律法规之间有内容重复交叉,同一行为有多个行政处罚主体,有的规章与行政法规相互抵触,处罚幅度不一致;二是法律法规建设跟不上信息技术发展的需要,这主要涉及网络规划与建设、网络管理与经营、网络安全、数据的法律保护、电子资金划转的法律认证、计算机犯罪与刑事立法、计算机证据的法律效力等方面的法律法规缺乏。
(2)管理问题。
管理包括三个层次的内容:组织建设、制度建设和人员意识。
组织建设是指有关信息安全管理机构的建设。
信息安全的管理包括安全规划、风险管理、应急计划、安全教育培训、安全系统的评估、安全认证等多方面的内容,因此只靠一个机构是无法解决这些问题的。
在各信息安全管理机构之间,要有明确的分工,以避免“政出多门”和“政策拉车”现象的发生。
明确了各机构的职责之后,还需要建立切实可行的规章制度,即进行制度建设,以保证信息安全。
如对人的管理,需要解决多人负责、责任到人的问题,任期有限的问题,职责分离的问题,最小权限的问题等。
有了组织机构和相应的制度,还需要领导的高度重视和群防群治,即强化人员的安全意识,这需要信息安全意识的教育和培训,以及对信息安全问题的高度重视。
(3)国家信息基础设施建设问题。
《国家信息安全报告》指出:我国计算机硬件、通信设备制造业的基础集成芯片,主要依赖进口,系统软件、支撑软件基本上是国外产品。
在这种形势下,我们必须清醒地承认一个基本事实:目前构成我国信息基础设施的网络、硬件、软件等产品几乎完全是建立在外国的核心信息技术之上的。
关于国家信息基础设施方面存在的问题已引起国家的高度重视。
如“十五”期间,国家863计划和科技攻关的重要项目就有“信息安全与电子政务”和“金融信息化”两个有关信息安全的研究项目;2002年1月1日开始实施的《电信业务经营许可证管理办法》明确要求:电信产品软件商不能在软件上预留“后门”,外国供货商不能远程登录中国电信商的操作系统,高级网管系统要用国内可靠机构开发的软件产品。
2.3我国在微观信息安全管理方面存在的问题(1)缺乏信息安全意识与明确的信息安全方针。
大多数组织的最高管理层对信息资产所面临威胁的严重性认识不足,或者仅局限于IT 方面的安全,没有形成一个合理的信息安全方针来指导组织的信息安全管理工作,这表现为缺乏完整的信息安全管理制度,缺乏对员工进行必要的安全法律法规和防范安全风险的教育与培训,现有的安全规章组织未必能严格实施等。
(2)重视安全技术,轻视安全管理。
目前组织普遍采用现代通信、计算机和网络技术来构建信息系统,以提高组织效率与竞争能力,但相应的管理措施不到位,如系统的运行、维护和开发等岗位不清,职责不分,存在一人身兼数职现象。
而大约70%以上的信息安全问题是由管理方面的原因造成的,也就是说解决信息安全问题不仅应从技术方面着手,同时更应加强信息安全的管理工作。
(3)安全管理缺乏系统管理的思想。
大多数组织现有的安全管理模式仍是传统的管理方法,出现了问题才去想补救的办法,是一种就事论事、静态的管理,不是建立在安全风险评估基础上的动态的持续改进管理方法。
3.加强信息安全管理的策略当前,我国的信息安全管理工作尚处于起步阶段,基础薄弱,水平不高,存在许多亟待解决的问题,我们要以全局性的眼光,加强信息安全的组织管理工作。
3.1建立集中统一、分工协作、各司其职的信息安全管理机制信息安全保障的关键在于组织领导,要从根本上加强我国的信息安全保障工作,必须建立全国集中统一、分工协作、各司其职的信息安全管理机制。
一是国家应建立能够协调维护各种安全利益的综合职能机构,成立有高度权威的国家信息安全委员会,作为国务院信息化领导小组的常设委员会,以改变目前在维护国家信息安全中各部门条块分割、职责不清、多头管理、协调不力和政出多门的现状;二是各个职能部门要形成一个分工明确、责任落实、相互衔接、有机配合的组织管理体系,按照“谁主管、谁负责”的原则,共同履行信息安全管理的职责;三是尽早建立省、市两级比较完善的信息安全领导管理体系,以便积极调动各种资源主动配合和协调信息安全保障工作,形成纵横结合的信息安全协调与信息共享机制;四是充分调动政府、企业和个人的积极性,实现有机联动,形成合力,共同构筑国家信息安全保障体系;五是健全和完善信息安全责任体系,要求各部门、各单位明确信息安全工作负责人,配备相应的信息安全员,把信息安全责任真正落实到人。