信息安全管理體系在大型企業的應用

閻朋舉

[摘 要]以信息安全管理為基礎對大型企業中出現的問題進行了研究，提出信息安全系統化的評估模型，設計了整體性的信息安全管理體系，為大型企業的信息安全管理打下基礎。

[關鍵詞]信息安全管理 評估模型 管理體系

中圖分類號：P9.T3308 文獻標識碼：A 文章編號：1009-914X（2016）21-0400-01

1、 引言

隨著信息化建設的發展，信息安全越來越多的受到人們的重視，企業信息安全重點面臨的問題主要表現在[1]：1）網絡受到外部的惡意攻擊，部分單位無終端接入控制措施，使企業的正常業務無法開展或相關重要數據被盜取；2）網站受到黑客攻擊，由于部分掌握網絡技術的不法人員查詢到破解網站所存在的漏洞，加以利用并篡改網站信息及獲取網站管理權限，使得網站陷入癱瘓；3）信息發布的監管不利產生不良的影響，通常情況下信息發布沒有主管部門負責審核導致監管不到位，那么不良信息就可能由于工作人員的疏忽而上傳到網站上，造成不良影響；4）計算機病毒的危害，相關系統不及時更新補丁和升級，受到病毒入侵并加以利用，篡改應用系統信息或獲取管理權限，使得應用系統丟失重要信息。

當前，有關信息系統的安全評價雖然存在著多種多樣的具體實踐方式，但在目前還沒有形成系統化和形式化的評價理論和方法。評價模型基本是基于灰色理論（Gray Theory）或者模糊（Fuzzy）數學，而評價方法基本上用層次分析法AHP[2]（Analytic Hierarchy Process）或模糊層次分析法Fuzzy AHP[3]將定性因素與定量參數結合，建立了安全評價體系，并運用隸屬函數和隸屬度確定待評對象的安全狀況。上述各種安全評估思想都是從信息系統安全的某一個方面出發，如技術、管理、過程、人員等，著重于評估網絡系統安全某一方面的實踐規范。在操作上主觀隨意性較強，其評估過程主要依靠測試者的技術水平和對網絡系統的了解程度，缺乏統一的、系統化的安全評估框架，很多評估準則和指標沒有與被評價對象的實際運行情況和信息安全保障的效果結合起來。

大型企業信息安全管理體系的研究，就是為了尋找一個科學、合理的管理體系，并根據該體系和方法對大型企業的信息安全狀況和水平進行評價，對信息安全管理績效進行考核。

2、 大型企業信息安全管理體系的內涵

通過管理體系的應用，將對大型企業信息安全產生非常重要的作用。一是可以對企業信息安全的水平做出客觀的反應，認識企業信息安全存在的不足之處，發揮考評體系的指導作用，引導企業“信息安全”工作健康科學發展；二是可以為企業信息安全的建設指明方向，為信息安全的發展提供有力支撐；三是可以幫助企業管理者建立起一套科學的信息安全管理系統，有效控制信息化活動的進程，提高信息安全級別，減少因信息安全事件引起的損失，有利于正確引導和規范企業的信息化建設，指導企業科學發展具有重要的意義。

3、 大型企業信息安全管理體系的主要做法

為了大型企業信息安全管理體系的建立，提出了管理體系的目標：對于信息安全方面出現的問題，達到防范目的；對于信息安全工作進行查漏補缺，加強管理；通過評估體系的考核，落實相關信息安全文件、推進信息安全工作，為企業信息安全的建設指明方向，同時注重管理體系整體的時效性，根據信息安全發展的不同階段進行及時更新。

1） 建立大型企業信息安全體系

信息安全體系總體設計。信息安全體系設計共分為三級，包含9個一級指標，14個二級指標，27個三級指標。一級指標和二級指標為共性指標，三級指標為數據采集項。一級指標包括：網絡安全管理、環境安全管理、應用系統安全管理、數據安全管理、終端安全管理、操作安全管理、網絡信息發布安全、移動信息化安全、服務器掃描情況。一級和二級指標結構圖如下：

2）信息安全考評指標的權重設計

指標權重理論思路。具體權重根據德爾菲法[4]、層次分析法，結合政策導向確定。

管理體系的指標權重確定方法設計過程中，選取兩組技術、管理等方面的專家，其中一組專家根據各指標在企業信息化中的重要程度，確定各指標的相對重要性，采用層次分析法確定各指標的權重。另外一組專家根據各指標在企業信息化中的重要程度，對各指標按百分制進行賦值，確定各指標的權重。綜合兩組專家的意見，初步確定各指標的權重，再組織專家研討會，最終確定各指標的權重。

企業信息安全考評指標總分計算方法：

I=Σ（Pi*Wi） （1）

I表示指標體系的總得分；Pi表示第i個指標的得分，各指標得滿分都是100分；Wi表示第i個指標的權重，所有指標權重的和為100%。

3）建設大型企業信息化評價管理系統

為了實施信息安全措施體系，以信息安全體系、信息安全文件和考評制度為基礎，研發包括信息安全在內的大型企業信息化評價管理系統。通過使用該系統，將減輕信息化管理部門的負擔，填報和匯總數據的效率顯著提高，最為突出的是以上報數據為基礎，可以自動、實時地形成各種統計、分析圖表，從而完成以往需要信息化管理人員幾天才能完成的大量統計工作，大大減輕了信息化管理部門的工作強度，增加了信息化管理部門對新情況快速反應能力。

系統整體架構由數據庫層、框架服務層、應用邏輯層、界面表現層組成，系統部署了tomcat下運行的I@Report和BI@Report作為框架服務層，并在此基礎上開發了業務系統。

系統主要實現了如下功能：

編碼同步、基層權限管理、評價初始化、基層初評、數據提交、部門權限管理（含單位、指標項）、管理部門復評、信息稽核、數據計算、統計管理、查詢管理、決策模型。

建立統一的數據報送平臺，提高企業信息整合水平。

建立在線交流及公告發布平臺。

系統根據建立的數學模型進行綜合分析，可自動、實時地形成各種統計分析圖表、報告等，例如：信息化評級、信息化水平評測報告。

4、 結束語

通過大型企業信息安全管理體系的實施，使企業信息化水平評估體系更加完善，在考評信息化建設水平的同時，又對信息安全水平等級有所提升。

參考文獻

[1] 周學廣，劉藝.信息安全學[M].北京：機械工業出版社，2003.

[2] 常建娥，蔣太立.層次分析法確定權重的研究[J].武漢理工大學學報，信息與管理工程版，2007，1（29）：153-156.

[3] 張吉軍.模糊層次分析法[J].模糊系統與數學，2000，2（14）：80-88.

[4] 杜占江，王金娜，肖丹.構建基于德爾菲法與層次分析法的文獻信息資源評價指標體系[J].現代情報，2011，10（31）：9-14.