信息安全管理體系研究

　　摘 要：隨著(zhù)信息技術(shù)的不斷應用，信息安全管理已經(jīng)逐漸成為各企業(yè)或各機構管理體系的重要組成部分。了解信息安全對企業(yè)發(fā)展的重要性，制定科學(xué)合理的方案構建完善的信息安全管理體系，是當前企業(yè)發(fā)展中需要解決的問(wèn)題之一。

　　關(guān)鍵詞：信息;管理體系;安全

　　一、概述

　　信息安全管理是指在信息的使用、存儲、傳輸過(guò)程中做好安全保護工作，保持信息的保密性、完整性和可用性。其中，保密性是指保障信息僅能被具有使用權限的人獲取或使用;完整性指為信息及其處理方法的準確性和完整性提供保護措施;可用性則指使用權限的人可在需要時(shí)獲取和使用相關(guān)的信息資產(chǎn)。因此，做好信息安全管理體系的研究對于提升信息的安全性具有現實(shí)意義。

　　二、信息安全管理體系

　　2.1 信息安全管理體系介紹 根據網(wǎng)絡(luò )安全相關(guān)統計表明，網(wǎng)絡(luò )信息安全事故中由于管理問(wèn)題導致出現安全事故的高達70%以上，因此解決網(wǎng)絡(luò )信息的安全問(wèn)題，除從技術(shù)層面進(jìn)行改進(jìn)外，還應加強網(wǎng)絡(luò )信息的安全管理力度。信息安全管理體系的建設是一項長(cháng)期的、系統的、復雜的工程，在建設信息安全管理體系時(shí)，應對整個(gè)網(wǎng)絡(luò )系統的各個(gè)環(huán)節進(jìn)行綜合考慮、規劃和構架，并根據各個(gè)要素的變化情況對管理體系進(jìn)行必要的調整，任何環(huán)節存在安全缺陷都可能會(huì )影響整個(gè)體系的安全。

　　2.2 信息安全管理體系的功能 信息安全管理是指導企業(yè)對于信息安全風(fēng)險相互協(xié)調的活動(dòng)，這種指導性活動(dòng)主要包括信息安全方針的制定、風(fēng)險評估、安全保障、控制目標及方式選擇等。企業(yè)要實(shí)現對信息資產(chǎn)進(jìn)行安全、高效、動(dòng)態(tài)的管理，就需要建立科學(xué)、完善、標準的信息安全管理體系。因此，一個(gè)有效的信息安全管理體系應該具備以下功能：對企業(yè)的重要信息資產(chǎn)進(jìn)行全面的保護，維持企業(yè)的競爭優(yōu)勢;使企業(yè)能在預防和持續發(fā)展的觀(guān)點(diǎn)上處理突發(fā)事件，當信息系統受到非法入侵時(shí)，能使相關(guān)的業(yè)務(wù)損失降到最低，并能維持基本的業(yè)務(wù)開(kāi)展;使企業(yè)的合作伙伴和客戶(hù)對企業(yè)充滿(mǎn)信心;能使企業(yè)定期對系統進(jìn)行更新和控制，以應對新的安全威脅。

　　三、信息安全管理體系的構建

　　3.1 信息安全管理框架的建立

　　信息安全管理框架是建設信息安全管理體系的基礎和參照依據，企業(yè)應根據自身的生產(chǎn)情況或經(jīng)營(yíng)情況搭建適合企業(yè)自身發(fā)展的信息安全管理框架，并在具體的業(yè)務(wù)開(kāi)展中對各安全管理制度進(jìn)行實(shí)施，并建立各種與信息安全管理構架相一致的文件或文檔，記錄信息安全管理體系實(shí)施過(guò)程中出現的安全事件和異常狀況，為后期建立嚴格的反饋制度提供參考。

　　3.1.1 信息安全管理策略。企業(yè)應制定信息安全管理策略，為企業(yè)的信息安全管理提供方向和依據。對于企業(yè)來(lái)說(shuō)，不僅要建立總體的安全策略，還應在此基礎上，根據風(fēng)險評估結果，制定更加詳細、具體、具有可行性的安全方針，對各部門(mén)及各職員的職責進(jìn)行明確的劃分和控制。如訪(fǎng)問(wèn)控制策略、桌面清理策略、屏幕清除策略等。

　　3.1.2 范圍劃分。企業(yè)應根據企業(yè)自身的特性，結合企業(yè)所在的地理位置、資產(chǎn)和技術(shù)等對信息安全管理體系的范圍進(jìn)行科學(xué)界定。一般來(lái)說(shuō)，企業(yè)信息安全管理體系包括的項目主要有信息系統、信息資產(chǎn)、信息技術(shù)、實(shí)物場(chǎng)所等。

　　3.1.3 風(fēng)險評估。 企業(yè)需要對風(fēng)險評估和管理方案進(jìn)行科學(xué)選擇，在選擇時(shí)應根據企業(yè)自身的實(shí)際情況進(jìn)行規范評估，對目前所面臨的信息安全風(fēng)險和風(fēng)險等級進(jìn)行準確識別。企業(yè)的信息資產(chǎn)是風(fēng)險評估的主要對象，評估時(shí)應考慮的因素有資產(chǎn)所受到的威脅、薄弱點(diǎn)及受到攻擊后對企業(yè)的影響。風(fēng)險評估的方法有多種，但無(wú)論選擇哪種評估工具，其最終的評估結果是一致的。

　　3.1.4 風(fēng)險管理。企業(yè)應根據信息安全策略和所要求的安全程度，對要管理的風(fēng)險內容進(jìn)行識別。風(fēng)險管理主要是風(fēng)險控制，企業(yè)可采取一定的安全措施，將風(fēng)險降低到企業(yè)可接受的水平。除降低風(fēng)險外，還可通過(guò)轉移風(fēng)險、規避風(fēng)險的方法維護企業(yè)信息資產(chǎn)的安全。對于信息資產(chǎn)來(lái)說(shuō)，風(fēng)險并不是一成不變的，當企業(yè)發(fā)生變化、過(guò)程發(fā)生更改、技術(shù)進(jìn)行革新或新風(fēng)險出現后，原有的風(fēng)險就會(huì )隨之發(fā)生變化，這種變化也是對風(fēng)險進(jìn)行管理的重要參考。

　　3.1.5 控制方式的選擇。風(fēng)險評估后，企業(yè)應從已有的安全技術(shù)中尋求有效的控制方法降低已識別的風(fēng)險，控制方式還可包括一些額外的控制，如企業(yè)新增加的控制方式或其他法律法規所要求的控制方式。

　　3.1.6 適用性聲明。信息安全適用性聲明主要是對企業(yè)內風(fēng)險管理目標、針對每種風(fēng)險所采取的控制措施等內容改進(jìn)記錄，這種記錄的主要目的是企業(yè)向內部員工表明信息安全管理的重要性，同時(shí)也是企業(yè)向外部表明企業(yè)對信息安全及風(fēng)險的態(tài)度和作為。

　　3.2 管理構架的實(shí)施 信息安全管理體系(ISMS)框架的構建只是建設信息安全管理體系的第一步，而框架的實(shí)施才是構建ISMS的重要步驟。在實(shí)施ISMS過(guò)程中，應對管理體系、實(shí)施的具體費用、企業(yè)職工的工作習慣、不同部門(mén)之間的合作等各個(gè)要素進(jìn)行綜合考慮。企業(yè)可按照既定目標和實(shí)施方式對信息的安全性進(jìn)行有效控制，這種有效性主要通過(guò)兩方面指標體現，一是控制活動(dòng)執行的嚴格性;二是活動(dòng)的結果與既定目標的一致性。

　　3.3 信息安全管理的文檔化 在信息安全管理體系的建設和實(shí)施過(guò)程中，應建立相關(guān)的文件和文檔，對ISMS管理范圍、管理框架、控制方式、具體操作過(guò)程等進(jìn)行記錄備案。在對文檔進(jìn)行管理時(shí)，可根據文檔的類(lèi)型和重要性對其等級劃分，并根據企業(yè)業(yè)務(wù)和規模的變化，對文檔進(jìn)行定期的修正和補充;而對于一些不再具有參考價(jià)值的文檔，可定期進(jìn)行廢棄處理。

　　四、總結

　　隨著(zhù)信息時(shí)代的到來(lái)，信息在企業(yè)發(fā)展中的作用越來(lái)越強大，并且已經(jīng)成為企業(yè)的一種重要資產(chǎn)，對于企業(yè)信息資產(chǎn)來(lái)說(shuō)，做好信息的安全管理工作，對于企業(yè)的發(fā)展具有重要意義。在建立信息安全管理體系時(shí)，應對管理框架、管理范圍、管理方式等內容進(jìn)行科學(xué)選擇，并做好相關(guān)的文檔記錄，為后期信息安全管理體系的進(jìn)一步優(yōu)化提供參考。

　　參考文獻：

　　[1]高文濤.國內外信息安全管理體系研究[J].計算機安全，2008(12)：95-97.

　　[2]李慧.信息安全管理體系研究[D].西安電子科技大學(xué)，2005.

　　[3]王海軍.網(wǎng)絡(luò )信息安全管理體系研究[J].信息網(wǎng)絡(luò )安全，2008(3)：47-48.

【信息安全管理體系研究】相關(guān)文章：

電力企業(yè)信息安全管理體系分析研究09-20

企業(yè)職業(yè)健康安全管理體系研究論文07-09

對高速公路安全管理體系的若干研究06-28

網(wǎng)絡(luò )信息安全及信息安全性等級研究10-15

稅源管理體系的優(yōu)化研究08-04

高校信息化建設與信息安全管理研究06-14

民航空管網(wǎng)絡(luò )與信息安全管理體系的構建論文07-03

企業(yè)信息安全管理體系構建的要點(diǎn)與策略論文06-29

信息安全技術(shù)與數字證書(shū)研究10-23

企業(yè)信息數據安全的研究論文09-08