信息安全管理体系建设论文.docx

信息安全管理体系建设论文

摘要近年来，随着行业一体化数字烟草构建要求提高，行业的信息化建设进程全面加速，信息化已融入到企业基础管理、生产制造、管理创新等诸多业务环节，信息化与工业化已逐步走向深度融合之路。

伴随着两化融合的发展，信息安全问题日益严重，逐渐成为影响业务运行、制约企业发展的重要因素之一。

因此，企业在开展信息化建设的同时，必须注重信息安全保障工作。

然而保证企业信息安全不能单纯利用技术手段，必须技术与管理并重才能保障企业信息安全。

笔者针对企业信息安全现状，依据国家、行业相关标准，阐述对企业信息安全管理体系建设的理解和看法。

关键词信息化；信息安全；安全管理1企业信息安全现状近几年，随着行业信息化建设逐步深入，伴随着办公自动化、、卷烟生产经营决策管理和生产制造执行等系统相继投入使用，与生产经营息息相关的关键业务对信息系统的依赖程度越来越高，企业也逐步认识到信息安全的重要性，企业员工的安全意识也都得到逐步提高。

行业也相继出台了烟草行业信息安全保障体系建设指南和各类信息安全制度，并通过这几年信息安全检查工作，促进企业的信息安全水平得到了进一步提高。

由于企业信息安全意识不断提高，企业不断加大信息安全方面的投入，如建立标准化的机房、购买与部署各类信息安全软件和设备等。

但是木马、病毒、垃圾邮件、间谍软件、恶意软件、僵尸网络等

也随着计算机技术的发展不断更新，攻击手段也越发隐蔽和多样化。

企业不仅要应对外部的攻击，也要应对来自于企业内部的信息安全威胁，安全形势不容乐观。

企业的信息安全已不仅仅是技术问题，还需要借助管理手段来保障。

企业如果不能正确树立信息风险导向意识，一味注重技术的作用，忽略管理的重要性，就很难发挥信息安全技术的作用，无法把企业的各项信息安全措施落到实处，企业的信息安全也就无从谈起。

只有切实发挥管理作用，企业的信息安全才能得到有效保障。

2企业信息安全体系架构在谈到信息安全时，大多数刚接触的人都比较疑惑，都说保障信息安全十分重要，那到底什么是信息安全呢？下面就简单介绍一下信息安全的概念以及企业的信息安全体系架构。

21信息。

对企业来说，信息是一种无形资产，具有一定商业价值，以电子、影像、话语等多种形式存在，必须进行保护。

22信息安全。

主要是指防止信息泄露、被篡改、被损坏或被非法辨识与控制，避免造成不良影响或者资产损失。

23企业信息安全体系架构。

在保障企业信息安全过程中，信息安全技术是保障信息安全的重要手段。

通过上文对企业信息安全现状的分析，不难看出企业信息安全体

系主要分为技术、管理两个重要体系，进一步细分则涉及安全运维方面。

231信息安全技术体系作用。

主要是指通过部署信息安全产品，合理制定安全策略，实现防止信息泄露、被篡改、被损坏等安全目标。

信息安全产品主要是指实现信息安全的工具平台，如防火墙类产品、防攻击类产品、杀毒软件类产品和密码类产品等，而信息安全技术则是指实现信息安全产品的技术基础。

232信息安全管理体系作用。

完善信息安全组织机构、制度，细化职责分工，制定执行标准，确保日常管理、检查等制度有效执行，最大程度发挥信息安全技术体系作用，确保信息安全相关保护措施有效执行。

通过上文简单介绍，对信息安全以及信息安全系统有了大概了解。

可以看出单纯借助技术或管理无法保障企业信息安全，因此，建立企业信息安全管理体系的重要性也就不言而喻。

3信息安全管理体系概念31信息安全管理。

运用技术、管理手段，做好信息安全工作整体规划、组织、协调与控制，确保实现信息安全目标。

32管理体系。

体系是指相互关联和相互作用的一组要素，而管理体系则是建立方针和目标并实现这些目标的体系。

33信息安全管理体系。

在一定组织范围内建立、完成信息安全方针和目标，采取或运用方法的体系。

作为管理活动最终结果，包含方针、原则、目标、方法、过程、核查表等众多要素。

34建立信息安全管理体系的目的。

作为企业总管理体系的一个子体系，目的是建立、实施、运行、监视、评审、保持和改进信息安全。

35信息安全管理体系涉及的要素。

351信息安全组织机构。

明确职责分工，确保信息安全工作组织与落实。

352信息安全管理体系文件。

编制信息安全管理体系的方针、过程、程序和其他必需的文件等。

353资源。

提供体系运转所需的资金、设备与人员等。

4信息安全管理体系机构设置以及作用在建立企业的信息安全管理体系之前，如果没有设置相应的信息安全组织机构，那么建立体系所需要的资源资金、人员等就无法得到保障，企业的信息安全制度和策略也就无法贯彻落实，企业的信息安全管理体系就形同虚设起不到任何作用。

因此，企业在建立信息安全管理体系前必须建立健全信息安全组织机构，机构设置可以根据职责分为三个层次。

41信息安全决策机构。

信息安全决策机构处于安全组织机构的第一个层次，是本单位信息安全工作的最高管理机构。

应以单位主要领导负责，对信息安全规划、信息安全策略和信息安全建设方案等进行审批，并为企业信息安全工作提供各类必要资源。

42管理机构。

处于安全组织机构的第二个层次，在决策机构的领导下，主要负责企业日常信息安全的管理、监督以及安全教育与培训等工作，此类工作大部分都由企业的信息化部门承担。

43执行机构。

处于信息安全组织机构的第三个层次，在管理机构的领导下，负责保证信息安全技术体系的有效运行及日常维护，通过具体技术手段落实安全策略，消除安全风险，以及发生安全事件后的具体响应和处理，执行机构人员可以由信息中心技术人员与各部门专职或兼职信息安全员组成。

5信息安全管理体系的建立270012005标准的建立章节中，已明确了信息安全管理体系建立的10项强制性要求和步骤。

企业应结合自身实际情况，遵照这些内容和步骤，建立自己的信息安全管理体系，并形成相应的体系文件。

51建立的步骤。

1结合企业实际，明确体系边界与范围，并编制体系范围文件。

2明确体系策略，构建目标框架、风险评价的准则等，形成方针文件。