信息安全管理體系研究

　　摘 要：隨著信息技術的不斷應用，信息安全管理已經(jīng)逐漸成為各企業(yè)或各機構(gòu)管理體系的重要組成部分。了解信息安全對企業(yè)發(fā)展的重要性，制定科學合理的方案構(gòu)建完善的信息安全管理體系，是當前企業(yè)發(fā)展中需要解決的問題之一。

　　關鍵詞：信息;管理體系;安全

　　一、概述

　　信息安全管理是指在信息的使用、存儲、傳輸過程中做好安全保護工作，保持信息的保密性、完整性和可用性。其中，保密性是指保障信息僅能被具有使用權限的人獲取或使用;完整性指為信息及其處理方法的準確性和完整性提供保護措施;可用性則指使用權限的人可在需要時獲取和使用相關的信息資產(chǎn)。因此，做好信息安全管理體系的研究對于提升信息的安全性具有現(xiàn)實意義。

　　二、信息安全管理體系

　　2.1 信息安全管理體系介紹 根據(jù)網(wǎng)絡安全相關統(tǒng)計表明，網(wǎng)絡信息安全事故中由于管理問題導致出現(xiàn)安全事故的高達70%以上，因此解決網(wǎng)絡信息的安全問題，除從技術層面進行改進外，還應加強網(wǎng)絡信息的安全管理力度。信息安全管理體系的建設是一項長期的、系統(tǒng)的、復雜的工程，在建設信息安全管理體系時，應對整個網(wǎng)絡系統(tǒng)的各個環(huán)節(jié)進行綜合考慮、規(guī)劃和構(gòu)架，并根據(jù)各個要素的變化情況對管理體系進行必要的調(diào)整，任何環(huán)節(jié)存在安全缺陷都可能會影響整個體系的安全。

　　2.2 信息安全管理體系的功能 信息安全管理是指導企業(yè)對于信息安全風險相互協(xié)調(diào)的活動，這種指導性活動主要包括信息安全方針的制定、風險評估、安全保障、控制目標及方式選擇等。企業(yè)要實現(xiàn)對信息資產(chǎn)進行安全、高效、動態(tài)的管理，就需要建立科學、完善、標準的信息安全管理體系。因此，一個有效的信息安全管理體系應該具備以下功能：對企業(yè)的重要信息資產(chǎn)進行全面的保護，維持企業(yè)的競爭優(yōu)勢;使企業(yè)能在預防和持續(xù)發(fā)展的觀點上處理突發(fā)事件，當信息系統(tǒng)受到非法入侵時，能使相關的業(yè)務損失降到最低，并能維持基本的業(yè)務開展;使企業(yè)的合作伙伴和客戶對企業(yè)充滿信心;能使企業(yè)定期對系統(tǒng)進行更新和控制，以應對新的安全威脅。

　　三、信息安全管理體系的構(gòu)建

　　3.1 信息安全管理框架的建立

　　信息安全管理框架是建設信息安全管理體系的基礎和參照依據(jù)，企業(yè)應根據(jù)自身的生產(chǎn)情況或經(jīng)營情況搭建適合企業(yè)自身發(fā)展的信息安全管理框架，并在具體的業(yè)務開展中對各安全管理制度進行實施，并建立各種與信息安全管理構(gòu)架相一致的文件或文檔，記錄信息安全管理體系實施過程中出現(xiàn)的安全事件和異常狀況，為后期建立嚴格的反饋制度提供參考。

　　3.1.1 信息安全管理策略。企業(yè)應制定信息安全管理策略，為企業(yè)的信息安全管理提供方向和依據(jù)。對于企業(yè)來說，不僅要建立總體的安全策略，還應在此基礎上，根據(jù)風險評估結(jié)果，制定更加詳細、具體、具有可行性的安全方針，對各部門及各職員的職責進行明確的劃分和控制。如訪問控制策略、桌面清理策略、屏幕清除策略等。

　　3.1.2 范圍劃分。企業(yè)應根據(jù)企業(yè)自身的特性，結(jié)合企業(yè)所在的地理位置、資產(chǎn)和技術等對信息安全管理體系的范圍進行科學界定。一般來說，企業(yè)信息安全管理體系包括的項目主要有信息系統(tǒng)、信息資產(chǎn)、信息技術、實物場所等。

　　3.1.3 風險評估。 企業(yè)需要對風險評估和管理方案進行科學選擇，在選擇時應根據(jù)企業(yè)自身的實際情況進行規(guī)范評估，對目前所面臨的信息安全風險和風險等級進行準確識別。企業(yè)的信息資產(chǎn)是風險評估的主要對象，評估時應考慮的因素有資產(chǎn)所受到的威脅、薄弱點及受到攻擊后對企業(yè)的影響。風險評估的方法有多種，但無論選擇哪種評估工具，其最終的評估結(jié)果是一致的。

　　3.1.4 風險管理。企業(yè)應根據(jù)信息安全策略和所要求的安全程度，對要管理的風險內(nèi)容進行識別。風險管理主要是風險控制，企業(yè)可采取一定的安全措施，將風險降低到企業(yè)可接受的水平。除降低風險外，還可通過轉(zhuǎn)移風險、規(guī)避風險的方法維護企業(yè)信息資產(chǎn)的安全。對于信息資產(chǎn)來說，風險并不是一成不變的，當企業(yè)發(fā)生變化、過程發(fā)生更改、技術進行革新或新風險出現(xiàn)后，原有的風險就會隨之發(fā)生變化，這種變化也是對風險進行管理的重要參考。

　　3.1.5 控制方式的選擇。風險評估后，企業(yè)應從已有的安全技術中尋求有效的控制方法降低已識別的風險，控制方式還可包括一些額外的控制，如企業(yè)新增加的控制方式或其他法律法規(guī)所要求的控制方式。

　　3.1.6 適用性聲明。信息安全適用性聲明主要是對企業(yè)內(nèi)風險管理目標、針對每種風險所采取的控制措施等內(nèi)容改進記錄，這種記錄的主要目的是企業(yè)向內(nèi)部員工表明信息安全管理的'重要性，同時也是企業(yè)向外部表明企業(yè)對信息安全及風險的態(tài)度和作為。

　　3.2 管理構(gòu)架的實施 信息安全管理體系(ISMS)框架的構(gòu)建只是建設信息安全管理體系的第一步，而框架的實施才是構(gòu)建ISMS的重要步驟。在實施ISMS過程中，應對管理體系、實施的具體費用、企業(yè)職工的工作習慣、不同部門之間的合作等各個要素進行綜合考慮。企業(yè)可按照既定目標和實施方式對信息的安全性進行有效控制，這種有效性主要通過兩方面指標體現(xiàn)，一是控制活動執(zhí)行的嚴格性;二是活動的結(jié)果與既定目標的一致性。

　　3.3 信息安全管理的文檔化 在信息安全管理體系的建設和實施過程中，應建立相關的文件和文檔，對ISMS管理范圍、管理框架、控制方式、具體操作過程等進行記錄備案。在對文檔進行管理時，可根據(jù)文檔的類型和重要性對其等級劃分，并根據(jù)企業(yè)業(yè)務和規(guī)模的變化，對文檔進行定期的修正和補充;而對于一些不再具有參考價值的文檔，可定期進行廢棄處理。

　　四、總結(jié)

　　隨著信息時代的到來，信息在企業(yè)發(fā)展中的作用越來越強大，并且已經(jīng)成為企業(yè)的一種重要資產(chǎn)，對于企業(yè)信息資產(chǎn)來說，做好信息的安全管理工作，對于企業(yè)的發(fā)展具有重要意義。在建立信息安全管理體系時，應對管理框架、管理范圍、管理方式等內(nèi)容進行科學選擇，并做好相關的文檔記錄，為后期信息安全管理體系的進一步優(yōu)化提供參考。

　　參考文獻：

　　[1]高文濤.國內(nèi)外信息安全管理體系研究[J].計算機安全，2008(12)：95-97.

　　[2]李慧.信息安全管理體系研究[D].西安電子科技大學，2005.

　　[3]王海軍.網(wǎng)絡信息安全管理體系研究[J].信息網(wǎng)絡安全，2008(3)：47-48.

【信息安全管理體系研究】相關文章：

1.電力企業(yè)信息安全管理體系分析研究

2.信息安全管理體系建設論文精選

3.企業(yè)職業(yè)健康安全管理體系研究論文

4.網(wǎng)絡信息安全及信息安全性等級研究

5.信息安全刑法保障研究論文

6.電子信息安全交換研究論文

7.智慧城市的信息安全研究論文

8.加油站網(wǎng)絡信息安全研究