如何构建企业信息安全的管理体系
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
用 户 利 用 , 获 取 非 法 利 益 。这 也 是 引发 来
安全管理制度 , 实施 高效管理 。
>建立 多应急预案 体系 , 保证信息 网
络不 间断运行 , 例如 : 设各故障应急预案、 网络中断应急预案、 灾备系统应急等。 >加强对物 理场所 的安全管理 , 包括 人员 出入 管理 、 房物 理安全 管理 、 防 机 消
设备、 设施 、 媒体 和信 息面临 因 自然灾 害
( 灾 、 灾 、 震 ) 环 境 事 故 ( 电 、 患 火 水 地 、 断 鼠 等) 人 为 操 作 失 误 、 、 以及 不 法 分 子 通 过 物 理 手 段进 行违 法犯 罪等 风 险 。 数据 安 全 风 险 。 包 括 : 争 性 业 务 的 竞
安全 管理 等 。
安全 问题的主要 原因。
()网络 互联 方 面 的风 险 3
随着企业业 务的扩展 , 企业信息 网同 外部信息网的连接关系越来越复杂 。 在企 业 的信息 网络与外界 网络 的连接之 间, 特 别是和互联 网之 间, 如缺乏必要且有效地 技术防范措施 , 那么恶意用户容易利用漏 洞侵害 内部网络 。
络实旖有效的管理和控 制是保障信息安全
的关键。 构建企业信息安全管理体系时, 应 建立从信息网络规划、 建设 、 运行维护到报 废的全过程安全管理, 建立评估 . 响应 . 防 护. 评估的动态 闭环 的管理过程。
1加 强 全 过程 安全 管理 .
() I 信息 网络系统建 设规划上 的不
b 信息网络建设阶段 . 建 设管理单 位要 将安 全需求 的汇 总
和 安 全 性 能 、 能 的 测 试 列 入 工 程 建 设 各 功
个阶段 工作 的主要 内容 ,要加强 对开发 ( 实麓) 员 、 人 开发 过程 中的资 料 ( 其是 尤
涉及各种 加密算法的资料) 、版 本控制的
管理 , 要加强 对开 发环境 、 户和路 由设 用 置、 关键代码 的检查 。
()安全 管理 面 的 问题 4
>加 强安全 技术和管理培训 大多损
害 是 出 自内 部 人 员 的 情 况 , 须 加 强 对 内 必
部人 员 的管理 ( 包括技 术人 员和营业 人 员) 和教育, 让相关人员知法懂法。 >加强对 安全 管 理制度 的执 行 力度
和 违 规 行 为 的处 罚 力 度 。
a信 息 网络 的 规 划 阶段 .
个 目标 累加、 持续 改进完 善的过程 , 是需
要企业从上 到下 的参与和重视 , 不同的企 业应根据 自身的特 点和具体情况 , 取不 采 同的步骤和 方法 , 将企业 的安全 风险控制
在 可接 受 的 范 围 内 , 能 保 证 企 业 业 务 的 才 持 续 性 和 企 业 效 益 的最 大 化 。◆
之 间存在矛盾。 这些 问题都会使安全技术
和管理措施难 以有效实施。 信息安全不仅是技术 问题 , 主要 的 更 是管理 问题 。俗话说 “ 三分技术 ,七分管
理 ”任 何 技术 措 施 只 能起 到增 强 信 息 安 全 , 防范能力的作用。只有管理到位了, 才能保
建设、 调整 、 建设 、 调整 的过 程 , 的 再 再 新 安全漏洞和 设计缺陷总是不断地被发现 , 单纯 的静 态管 理流程 已经不 能满足 要求 的, 需要建立动态的、 闭环 的管理流程。 动 态、 闭环 的管理流程就 是要在 企业整体安 全策略 的控 制和指 导下, 通过安全 评估和 检测工 具及 时 了解信 息 网络 中存在 的安 全问题和安全隐患 , 此制定安全建设规 据 划 和安全加 固方案 , 综合应用各种安全防 护 产品, 将系统逐 步调整到相对安全 的状 态。 总之, 信息安全 管理体 系的建立是一
c信 息 网络 运 行 维 护 阶 段 .
随 着信息技 术 的高速发 展和计 算机 技术及 网络技术 的广泛应用 , 信息系统在 企业经营战略 中的作用和地位 日趋 重要 , 企业对信息系统的依赖性也在不断增长 。 随之 ,信息安全 问题也变得 日益突 出, 信 息系统的脆弱性也 日渐 凸显 。 我们要 对企业信 息 网络可能 面临 的 安全威胁 和安 全问题进 行系统地 分析, 形 成完整 的安全 需求 , 才能构造符合企业 实 际的、 可操控性 的信息安全体系。 1可能面临的安全威胁 . 物理 安全风险 。包括 : 计算机系统 的
还 是 技 术 建 设 工 作 都 可 能 … 步 到 位 , 因
此要 根据企 业状 况实事求 是地确 定信 息
网络 如 何 构 建 企 业 信 息 安 全 的管 理 体 系 施 , 的安全总体 目标和。阶段 目标,分步实 从而 有 效 降低 风 险
口陈 江涛
( 中国电子科技集团公司第二十八研 究所 , 南京 江苏 200) 10 7
自计 算 机 和 互 联 网 问世 以来 , 计 上 设
源自文库
>建立有效 的安全 管理组织 架构 , 明
确 各 级 人 员 职 责 , 顺 流 程 , 定 完 善 的 理 制
的缺 陷和技术 上的漏 洞随之 系统 的深入 应用逐步暴露 出来 , 些缺 陷存在于计算 这 机操作 系统 、 数据 库系统 、 网络软件 和应 用软件 等的各个 层次 , 有可 能被 某些恶意
成网络 设备瘫痪 、 自互联网黑客 的非法 来
入侵 威 胁 等 。 业 务 中断 风 险 。以上 风 险 都 可 能造 成
企业业务 中断, 甚至造成企业重大损 失和
障技术措施充分发挥作用。能否对信息网
恶劣社会 影响, 造成企业品牌和信誉 。
2 可 能存 在 的 安 全 问题 .
如果没有建立专 门的安全 管理组织 , 信息 安全管理 制度不健 全或 贯彻落 实不 力, 员不到位 , 人 安全 防 范 意 识 不 强 , 者 或 企业 为节约 成本 , 在人力投入和 实际需求
d 系统及设备报废阶段 .
对于 已过 期的保密 信息 ( 纸质文档 、
电子 文档 等) 要及 时、 中销 毁 ; , 集 对于报 废 设 备 处 理 时 也 要 销 毁 遗 存 在 设 备 上 涉 及 安全 的信 息。 2 建立动态 的闭环管理流程 .
完 善
信 息 网络 建设 初 期 , 以保 证 企 业应 是
用的功能和性 能为主的, 没有将信 息安全
作 为 系统 的主 要 功 能 之 一 。 然 利 用 当 时 虽 的技 术 手 段 采 取 了一 些 安全 措 施 , 安 全 但
信息 系统整个 生命 周期 分为规划 、 建 设 、 维、 运 报废 四个阶段 , 同的阶段有 不 不 同的安全管理重点和要求 。
保护 措施较 为零散 ,缺乏整 体性 与系统 性 ,对于信 息 网络 的安全保 护缺乏 统一 的、 明确 的指导 思想 , 这是 引发 安全 问题
的 主要 源 头 。
此 时应加强对 信 息安全 建设和 管理
的规 划 。 息 安全 建 设 本 身 就 需 要 投 入 一 信 定 的 人 力 、 力 和 财 力 , 无 论 管 理 工 作 物 且
企 业 的 信 息 网 络 是 一 个 处 在 不 断 的
经营和 管理数据 泄漏 , 客户 数据 ( 尤其 是 大客户 资料) 泄漏 、 数据 被人 为恶意篡 改 或破坏等 。
网络 安全 风 险 。包 括 : 毒 造 成 网 络 病 瘫痪 与拥 塞 、 内部 或 外 部 人 为 恶 意 破 坏 造
()技 术 与 设 计 上 的不 完 善 2
④ 管理观察・00 月上旬刊 21 年9
安全管理制度 , 实施 高效管理 。
>建立 多应急预案 体系 , 保证信息 网
络不 间断运行 , 例如 : 设各故障应急预案、 网络中断应急预案、 灾备系统应急等。 >加强对物 理场所 的安全管理 , 包括 人员 出入 管理 、 房物 理安全 管理 、 防 机 消
设备、 设施 、 媒体 和信 息面临 因 自然灾 害
( 灾 、 灾 、 震 ) 环 境 事 故 ( 电 、 患 火 水 地 、 断 鼠 等) 人 为 操 作 失 误 、 、 以及 不 法 分 子 通 过 物 理 手 段进 行违 法犯 罪等 风 险 。 数据 安 全 风 险 。 包 括 : 争 性 业 务 的 竞
安全 管理 等 。
安全 问题的主要 原因。
()网络 互联 方 面 的风 险 3
随着企业业 务的扩展 , 企业信息 网同 外部信息网的连接关系越来越复杂 。 在企 业 的信息 网络与外界 网络 的连接之 间, 特 别是和互联 网之 间, 如缺乏必要且有效地 技术防范措施 , 那么恶意用户容易利用漏 洞侵害 内部网络 。
络实旖有效的管理和控 制是保障信息安全
的关键。 构建企业信息安全管理体系时, 应 建立从信息网络规划、 建设 、 运行维护到报 废的全过程安全管理, 建立评估 . 响应 . 防 护. 评估的动态 闭环 的管理过程。
1加 强 全 过程 安全 管理 .
() I 信息 网络系统建 设规划上 的不
b 信息网络建设阶段 . 建 设管理单 位要 将安 全需求 的汇 总
和 安 全 性 能 、 能 的 测 试 列 入 工 程 建 设 各 功
个阶段 工作 的主要 内容 ,要加强 对开发 ( 实麓) 员 、 人 开发 过程 中的资 料 ( 其是 尤
涉及各种 加密算法的资料) 、版 本控制的
管理 , 要加强 对开 发环境 、 户和路 由设 用 置、 关键代码 的检查 。
()安全 管理 面 的 问题 4
>加 强安全 技术和管理培训 大多损
害 是 出 自内 部 人 员 的 情 况 , 须 加 强 对 内 必
部人 员 的管理 ( 包括技 术人 员和营业 人 员) 和教育, 让相关人员知法懂法。 >加强对 安全 管 理制度 的执 行 力度
和 违 规 行 为 的处 罚 力 度 。
a信 息 网络 的 规 划 阶段 .
个 目标 累加、 持续 改进完 善的过程 , 是需
要企业从上 到下 的参与和重视 , 不同的企 业应根据 自身的特 点和具体情况 , 取不 采 同的步骤和 方法 , 将企业 的安全 风险控制
在 可接 受 的 范 围 内 , 能 保 证 企 业 业 务 的 才 持 续 性 和 企 业 效 益 的最 大 化 。◆
之 间存在矛盾。 这些 问题都会使安全技术
和管理措施难 以有效实施。 信息安全不仅是技术 问题 , 主要 的 更 是管理 问题 。俗话说 “ 三分技术 ,七分管
理 ”任 何 技术 措 施 只 能起 到增 强 信 息 安 全 , 防范能力的作用。只有管理到位了, 才能保
建设、 调整 、 建设 、 调整 的过 程 , 的 再 再 新 安全漏洞和 设计缺陷总是不断地被发现 , 单纯 的静 态管 理流程 已经不 能满足 要求 的, 需要建立动态的、 闭环 的管理流程。 动 态、 闭环 的管理流程就 是要在 企业整体安 全策略 的控 制和指 导下, 通过安全 评估和 检测工 具及 时 了解信 息 网络 中存在 的安 全问题和安全隐患 , 此制定安全建设规 据 划 和安全加 固方案 , 综合应用各种安全防 护 产品, 将系统逐 步调整到相对安全 的状 态。 总之, 信息安全 管理体 系的建立是一
c信 息 网络 运 行 维 护 阶 段 .
随 着信息技 术 的高速发 展和计 算机 技术及 网络技术 的广泛应用 , 信息系统在 企业经营战略 中的作用和地位 日趋 重要 , 企业对信息系统的依赖性也在不断增长 。 随之 ,信息安全 问题也变得 日益突 出, 信 息系统的脆弱性也 日渐 凸显 。 我们要 对企业信 息 网络可能 面临 的 安全威胁 和安 全问题进 行系统地 分析, 形 成完整 的安全 需求 , 才能构造符合企业 实 际的、 可操控性 的信息安全体系。 1可能面临的安全威胁 . 物理 安全风险 。包括 : 计算机系统 的
还 是 技 术 建 设 工 作 都 可 能 … 步 到 位 , 因
此要 根据企 业状 况实事求 是地确 定信 息
网络 如 何 构 建 企 业 信 息 安 全 的管 理 体 系 施 , 的安全总体 目标和。阶段 目标,分步实 从而 有 效 降低 风 险
口陈 江涛
( 中国电子科技集团公司第二十八研 究所 , 南京 江苏 200) 10 7
自计 算 机 和 互 联 网 问世 以来 , 计 上 设
源自文库
>建立有效 的安全 管理组织 架构 , 明
确 各 级 人 员 职 责 , 顺 流 程 , 定 完 善 的 理 制
的缺 陷和技术 上的漏 洞随之 系统 的深入 应用逐步暴露 出来 , 些缺 陷存在于计算 这 机操作 系统 、 数据 库系统 、 网络软件 和应 用软件 等的各个 层次 , 有可 能被 某些恶意
成网络 设备瘫痪 、 自互联网黑客 的非法 来
入侵 威 胁 等 。 业 务 中断 风 险 。以上 风 险 都 可 能造 成
企业业务 中断, 甚至造成企业重大损 失和
障技术措施充分发挥作用。能否对信息网
恶劣社会 影响, 造成企业品牌和信誉 。
2 可 能存 在 的 安 全 问题 .
如果没有建立专 门的安全 管理组织 , 信息 安全管理 制度不健 全或 贯彻落 实不 力, 员不到位 , 人 安全 防 范 意 识 不 强 , 者 或 企业 为节约 成本 , 在人力投入和 实际需求
d 系统及设备报废阶段 .
对于 已过 期的保密 信息 ( 纸质文档 、
电子 文档 等) 要及 时、 中销 毁 ; , 集 对于报 废 设 备 处 理 时 也 要 销 毁 遗 存 在 设 备 上 涉 及 安全 的信 息。 2 建立动态 的闭环管理流程 .
完 善
信 息 网络 建设 初 期 , 以保 证 企 业应 是
用的功能和性 能为主的, 没有将信 息安全
作 为 系统 的主 要 功 能 之 一 。 然 利 用 当 时 虽 的技 术 手 段 采 取 了一 些 安全 措 施 , 安 全 但
信息 系统整个 生命 周期 分为规划 、 建 设 、 维、 运 报废 四个阶段 , 同的阶段有 不 不 同的安全管理重点和要求 。
保护 措施较 为零散 ,缺乏整 体性 与系统 性 ,对于信 息 网络 的安全保 护缺乏 统一 的、 明确 的指导 思想 , 这是 引发 安全 问题
的 主要 源 头 。
此 时应加强对 信 息安全 建设和 管理
的规 划 。 息 安全 建 设 本 身 就 需 要 投 入 一 信 定 的 人 力 、 力 和 财 力 , 无 论 管 理 工 作 物 且
企 业 的 信 息 网 络 是 一 个 处 在 不 断 的
经营和 管理数据 泄漏 , 客户 数据 ( 尤其 是 大客户 资料) 泄漏 、 数据 被人 为恶意篡 改 或破坏等 。
网络 安全 风 险 。包 括 : 毒 造 成 网 络 病 瘫痪 与拥 塞 、 内部 或 外 部 人 为 恶 意 破 坏 造
()技 术 与 设 计 上 的不 完 善 2
④ 管理观察・00 月上旬刊 21 年9