隨著信息技術(shù)的高速發(fā)展和計(jì)算機(jī)技術(shù)及網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，信息系統(tǒng)在企業(yè)經(jīng)營(yíng)戰(zhàn)略中的作用和地位日趨重要，企業(yè)對(duì)信息系統(tǒng)的依賴性也在不斷增長(zhǎng)。隨之，信息安全問題也變得日益突出，信息系統(tǒng)的脆弱性也日漸凸顯。

　　一、信息安全威脅

　　我們要對(duì)企業(yè)信息網(wǎng)絡(luò)可能面臨的安全威脅和安全問題進(jìn)行系統(tǒng)地分析，形成完整的安全需求，才能構(gòu)造符合企業(yè)實(shí)際的、可操控性的信息安全體系。

　　1.可能面臨的安全威脅

　　物理安全風(fēng)險(xiǎn)。包括：計(jì)算機(jī)系統(tǒng)的設(shè)備、設(shè)施、媒體和信息面臨因自然災(zāi)害(火災(zāi)、水災(zāi)、地震)、環(huán)境事故(斷電、鼠患等)、人為操作失誤、以及不法分子通過物理手段進(jìn)行違法犯罪等風(fēng)險(xiǎn)。

　　數(shù)據(jù)安全風(fēng)險(xiǎn)。包括：競(jìng)爭(zhēng)性業(yè)務(wù)的經(jīng)營(yíng)和管理數(shù)據(jù)泄漏，客戶數(shù)據(jù)(尤其是大客戶資料)泄漏、數(shù)據(jù)被人為惡意篡改或破壞等。

　　網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。包括：病毒造成網(wǎng)絡(luò)癱瘓與擁塞、內(nèi)部或外部人為惡意破壞造成網(wǎng)絡(luò)設(shè)備癱瘓、來自互聯(lián)網(wǎng)黑客的非法入侵威脅等。

　　業(yè)務(wù)中斷風(fēng)險(xiǎn)。以上風(fēng)險(xiǎn)都可能造成企業(yè)業(yè)務(wù)中斷，甚至造成企業(yè)重大損失和惡劣社會(huì)影響，造成企業(yè)品牌和信譽(yù)。

　　2.可能存在的安全問題

　　(1)信息網(wǎng)絡(luò)系統(tǒng)建設(shè)規(guī)劃上的不完善

　　信息網(wǎng)絡(luò)建設(shè)初期，是以保證企業(yè)應(yīng)用的功能和性能為主的，沒有將信息安全作為系統(tǒng)的主要功能之一。雖然利用當(dāng)時(shí)的技術(shù)手段采取了一些安全措施，但安全保護(hù)措施較為零散，缺乏整體性與系統(tǒng)性，對(duì)于信息網(wǎng)絡(luò)的安全保護(hù)缺乏統(tǒng)一的、明確的指導(dǎo)思想，這是引發(fā)安全問題的主要源頭。

　　(2)技術(shù)與設(shè)計(jì)上的不完善

　　自計(jì)算機(jī)和互聯(lián)網(wǎng)問世以來。設(shè)計(jì)上的缺陷和技術(shù)上的漏洞隨之系統(tǒng)的深入應(yīng)用逐步暴露出來，這些缺陷存在于計(jì)算機(jī)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)軟件和應(yīng)用軟件等的各個(gè)層次，有可能被某些惡意用戶利用，來獲取非法利益。這也是引發(fā)安全問題的主要原因。

　　(3)網(wǎng)絡(luò)互聯(lián)方面的風(fēng)險(xiǎn)

　　隨著企業(yè)業(yè)務(wù)的擴(kuò)展，企業(yè)信息網(wǎng)同外部信息網(wǎng)的連接關(guān)系越來越復(fù)雜。在企業(yè)的信息網(wǎng)絡(luò)與外界網(wǎng)絡(luò)的連接之間，特別是和互聯(lián)網(wǎng)之間，如缺乏必要且有效地技術(shù)防范措施，那么惡意用戶容易利用漏洞侵害內(nèi)部網(wǎng)絡(luò)。

　　(4)安全管理面的問題

　　如果沒有建立專門的安全管理組織，信息安全管理制度不健全或貫徹落實(shí)不力，人員不到位，安全防范意識(shí)不強(qiáng)，或者企業(yè)為節(jié)約成本，在人力投入和實(shí)際需求之間存在矛盾。這些問題都會(huì)使安全技術(shù)和管理措施難以有效實(shí)施。

　　二、信息安全管理

　　信息安全不僅是技術(shù)問題，更主要的是管理問題。俗話說“三分技術(shù)，七分管理”，任何技術(shù)措施只能起到增強(qiáng)信息安全防范能力的作用。只有管理到位了，才能保障技術(shù)措施充分發(fā)揮作用。能否對(duì)信息網(wǎng)絡(luò)實(shí)施有效的管理和控制是保障信息安全的關(guān)鍵。構(gòu)建企業(yè)信息安全管理體系時(shí)，應(yīng)建立從信息網(wǎng)絡(luò)規(guī)劃、建設(shè)、運(yùn)行維護(hù)到報(bào)廢的全過程安全管理，建立評(píng)估、響應(yīng)、防護(hù)、評(píng)估的動(dòng)態(tài)閉環(huán)的管理過程。

　　1.加強(qiáng)全過程安全管理

　　信息系統(tǒng)整個(gè)生命周期分為規(guī)劃、建設(shè)、運(yùn)維、報(bào)廢四個(gè)階段，不同的階段有不同的安全管理重點(diǎn)和要求。

　　1.1 信息網(wǎng)絡(luò)的規(guī)劃階段

　　此時(shí)應(yīng)加強(qiáng)對(duì)信息安全建設(shè)和管理的規(guī)劃。信息安全建設(shè)本身就需要投入一定的人力、物力和財(cái)力，且無論管理工作還是技術(shù)建設(shè)工作都不可能一步到位，因此要根據(jù)企業(yè)狀況實(shí)事求是地確定信息網(wǎng)絡(luò)的安全總體目標(biāo)和階段目標(biāo)，分步實(shí)施，從而有效降低風(fēng)險(xiǎn)。

　　1.2 信息網(wǎng)絡(luò)建設(shè)階段

　　建設(shè)管理單位要將安全需求的匯總和安全性能、功能的測(cè)試列入工程建設(shè)各個(gè)階段工作的主要內(nèi)容，要加強(qiáng)對(duì)開發(fā)(實(shí)施)人員、開發(fā)過程中的資料(尤其是涉及各種加密算法的資料)、版本控制的管理，要加強(qiáng)對(duì)開發(fā)環(huán)境、用戶和路由設(shè)置、關(guān)鍵代碼的檢查。

　　1.3 信息網(wǎng)絡(luò)運(yùn)行維護(hù)階段

　　·建立有效的安全管理組織架構(gòu)，明確各級(jí)人員職責(zé)，理順流程，制定完善的安全管理制度，實(shí)施高效管理。

　　·建立多應(yīng)急預(yù)案體系，保證信息網(wǎng)絡(luò)不問斷運(yùn)行，例如：設(shè)備故障應(yīng)急預(yù)案、網(wǎng)絡(luò)中斷應(yīng)急預(yù)案、災(zāi)備系統(tǒng)應(yīng)急等。

　　·加強(qiáng)對(duì)物理場(chǎng)所的安全管理，包括人員出入管理、機(jī)房物理安全管理、消防安全管理等。

　　·加強(qiáng)安全技術(shù)和管理培訓(xùn)。大多損害是出自內(nèi)部人員的情況，必須加強(qiáng)對(duì)內(nèi)部人員的管理(包括技術(shù)人員和營(yíng)業(yè)人員)和教育，讓相關(guān)人員知法懂法。

　　·加強(qiáng)對(duì)安全管理制度的執(zhí)行力度和違規(guī)行為的處罰力度。

　　1.4 系統(tǒng)及設(shè)備報(bào)廢階段

　　對(duì)于已過期的保密信息(紙質(zhì)文檔、電子文檔等)，要及時(shí)、集中銷毀；對(duì)于報(bào)廢設(shè)備處理時(shí)也要銷毀遺存在設(shè)備上涉及安全的信息。

　　2.建立動(dòng)態(tài)的閉環(huán)管理流程

　　企業(yè)的信息網(wǎng)絡(luò)是一個(gè)處在不斷的建設(shè)、調(diào)整、再建設(shè)、再調(diào)整的過程，新的安全漏洞和設(shè)計(jì)缺陷總是不斷地被發(fā)現(xiàn)，單純的靜態(tài)管理流程已經(jīng)不能滿足要求的，需要建立動(dòng)態(tài)的、閉環(huán)的管理流程。動(dòng)態(tài)、閉環(huán)的管理流程就是要在企業(yè)整體安全策略的控制和指導(dǎo)下，通過安全評(píng)估和檢測(cè)工具及時(shí)了解信息網(wǎng)絡(luò)中存在的安全問題和安全隱患，據(jù)此制定安全建設(shè)規(guī)劃和安全加固方案，綜合應(yīng)用各種安全防護(hù)產(chǎn)品，將系統(tǒng)逐步調(diào)整到相對(duì)安全的狀態(tài)。

　　總之，信息安全管理體系的建立是一個(gè)目標(biāo)累加、持續(xù)改進(jìn)完善的過程，是需要企業(yè)從上到下的參與和重視，不同的企業(yè)應(yīng)根據(jù)自身的特點(diǎn)和具體情況，采取不同的步驟和方法，將企業(yè)的安全風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)，才能保證企業(yè)業(yè)務(wù)的持續(xù)性和企業(yè)效益的最大化。