yzwdli：

隨著信息技術的高速發(fā)展和計算機技術及網絡技術的廣泛應用，信息系統(tǒng)在企業(yè)經營戰(zhàn)略中的作用和地位日趨重要，企業(yè)對信息系統(tǒng)的依賴性也在不斷增長。隨之，信息安全問題也變得日益突出，信息系統(tǒng)的脆弱性也日漸凸顯。

　　一、信息安全威脅

　　我們要對企業(yè)信息網絡可能面臨的安全威脅和安全問題進行系統(tǒng)地分析，形成完整的安全需求，才能構造符合企業(yè)實際的、可操控性的信息安全體系。

　　1.可能面臨的安全威脅

　　物理安全風險。包括：計算機系統(tǒng)的設備、設施、媒體和信息面臨因自然災害(火災、水災、地震)、環(huán)境事故(斷電、鼠患等)、人為操作失誤、以及不法分子通過物理手段進行違法犯罪等風險。

　　數據安全風險。包括：競爭性業(yè)務的經營和管理數據泄漏，客戶數據(尤其是大客戶資料)泄漏、數據被人為惡意篡改或破壞等。

　　網絡安全風險。包括：病毒造成網絡癱瘓與擁塞、內部或外部人為惡意破壞造成網絡設備癱瘓、來自互聯(lián)網黑客的非法入侵威脅等。

　　業(yè)務中斷風險。以上風險都可能造成企業(yè)業(yè)務中斷，甚至造成企業(yè)重大損失和惡劣社會影響，造成企業(yè)品牌和信譽。

　　2.可能存在的安全問題

　　(1)信息網絡系統(tǒng)建設規(guī)劃上的不完善

　　信息網絡建設初期，是以保證企業(yè)應用的功能和性能為主的，沒有將信息安全作為系統(tǒng)的主要功能之一。雖然利用當時的技術手段采取了一些安全措施，但安全保護措施較為零散，缺乏整體性與系統(tǒng)性，對于信息網絡的安全保護缺乏統(tǒng)一的、明確的指導思想，這是引發(fā)安全問題的主要源頭。

　　(2)技術與設計上的不完善

　　自計算機和互聯(lián)網問世以來。設計上的缺陷和技術上的漏洞隨之系統(tǒng)的深入應用逐步暴露出來，這些缺陷存在于計算機操作系統(tǒng)、數據庫系統(tǒng)、網絡軟件和應用軟件等的各個層次，有可能被某些惡意用戶利用，來獲取非法利益。這也是引發(fā)安全問題的主要原因。

　　(3)網絡互聯(lián)方面的風險

　　隨著企業(yè)業(yè)務的擴展，企業(yè)信息網同外部信息網的連接關系越來越復雜。在企業(yè)的信息網絡與外界網絡的連接之間，特別是和互聯(lián)網之間，如缺乏必要且有效地技術防范措施，那么惡意用戶容易利用漏洞侵害內部網絡。

　　(4)安全管理面的問題

　　如果沒有建立專門的安全管理組織，信息安全管理制度不健全或貫徹落實不力，人員不到位，安全防范意識不強，或者企業(yè)為節(jié)約成本，在人力投入和實際需求之間存在矛盾。這些問題都會使安全技術和管理措施難以有效實施。

　　二、信息安全管理

　　信息安全不僅是技術問題，更主要的是管理問題。俗話說“三分技術，七分管理”，任何技術措施只能起到增強信息安全防范能力的作用。只有管理到位了，才能保障技術措施充分發(fā)揮作用。能否對信息網絡實施有效的管理和控制是保障信息安全的關鍵。構建企業(yè)信息安全管理體系時，應建立從信息網絡規(guī)劃、建設、運行維護到報廢的全過程安全管理，建立評估、響應、防護、評估的動態(tài)閉環(huán)的管理過程。

　　1.加強全過程安全管理

　　信息系統(tǒng)整個生命周期分為規(guī)劃、建設、運維、報廢四個階段，不同的階段有不同的安全管理重點和要求。

　　1.1 信息網絡的規(guī)劃階段

　　此時應加強對信息安全建設和管理的規(guī)劃。信息安全建設本身就需要投入一定的人力、物力和財力，且無論管理工作還是技術建設工作都不可能一步到位，因此要根據企業(yè)狀況實事求是地確定信息網絡的安全總體目標和階段目標，分步實施，從而有效降低風險。

　　1.2 信息網絡建設階段

　　建設管理單位要將安全需求的匯總和安全性能、功能的測試列入工程建設各個階段工作的主要內容，要加強對開發(fā)(實施)人員、開發(fā)過程中的資料(尤其是涉及各種加密算法的資料)、版本控制的管理，要加強對開發(fā)環(huán)境、用戶和路由設置、關鍵代碼的檢查。

　　1.3 信息網絡運行維護階段

　　·建立有效的安全管理組織架構，明確各級人員職責，理順流程，制定完善的安全管理制度，實施高效管理。

　　·建立多應急預案體系，保證信息網絡不問斷運行，例如：設備故障應急預案、網絡中斷應急預案、災備系統(tǒng)應急等。

　　·加強對物理場所的安全管理，包括人員出入管理、機房物理安全管理、消防安全管理等。

　　·加強安全技術和管理培訓。大多損害是出自內部人員的情況，必須加強對內部人員的管理(包括技術人員和營業(yè)人員)和教育，讓相關人員知法懂法。

　　·加強對安全管理制度的執(zhí)行力度和違規(guī)行為的處罰力度。

　　1.4 系統(tǒng)及設備報廢階段

　　對于已過期的保密信息(紙質文檔、電子文檔等)，要及時、集中銷毀；對于報廢設備處理時也要銷毀遺存在設備上涉及安全的信息。

　　2.建立動態(tài)的閉環(huán)管理流程

　　企業(yè)的信息網絡是一個處在不斷的建設、調整、再建設、再調整的過程，新的安全漏洞和設計缺陷總是不斷地被發(fā)現，單純的靜態(tài)管理流程已經不能滿足要求的，需要建立動態(tài)的、閉環(huán)的管理流程。動態(tài)、閉環(huán)的管理流程就是要在企業(yè)整體安全策略的控制和指導下，通過安全評估和檢測工具及時了解信息網絡中存在的安全問題和安全隱患，據此制定安全建設規(guī)劃和安全加固方案，綜合應用各種安全防護產品，將系統(tǒng)逐步調整到相對安全的狀態(tài)。

　　總之，信息安全管理體系的建立是一個目標累加、持續(xù)改進完善的過程，是需要企業(yè)從上到下的參與和重視，不同的企業(yè)應根據自身的特點和具體情況，采取不同的步驟和方法，將企業(yè)的安全風險控制在可接受的范圍內，才能保證企業(yè)業(yè)務的持續(xù)性和企業(yè)效益的最大化。

zxry：

謝謝提供這么好的資料！好！感謝樓主分享。