管理與技術(shù)相結(jié)合的信息安全綜合治理分析

劉樹(shù)生

摘 要

隨著信息技術(shù)應(yīng)用的日漸廣泛化，信息安全的受關(guān)注程度不斷提升，信息安全綜合治理也逐漸成為各界關(guān)注的焦點(diǎn)。基于此，本文將圍繞信息安全管理開(kāi)展綜合分析，并深入探討管理與技術(shù)相結(jié)合的信息安全綜合治理路徑，希望研究?jī)?nèi)容能夠?yàn)楦黝?lèi)企業(yè)單位的信息安全水平提升帶來(lái)一定幫助。

關(guān)鍵詞

信息安全;信息技術(shù);信息管理

中圖分類(lèi)號(hào)： G270.7文獻(xiàn)標(biāo)識(shí)碼： A

DOI：10.19694/j.cnki.issn2095-2457.2020.03.070

0 前言

對(duì)于各類(lèi)企業(yè)單位來(lái)說(shuō)，信息安全風(fēng)險(xiǎn)可細(xì)分為生產(chǎn)安全風(fēng)險(xiǎn)與信息安全風(fēng)險(xiǎn)，這類(lèi)風(fēng)險(xiǎn)的源頭為信息技術(shù)與產(chǎn)品的應(yīng)用。進(jìn)一步分析可以發(fā)現(xiàn)，企業(yè)單位很容易在管理與技術(shù)方面出現(xiàn)信息安全問(wèn)題，問(wèn)題的針對(duì)性處理正是本文研究的關(guān)鍵所在。

1 信息安全管理的綜合分析

1.1 信息安全管理問(wèn)題分析

企業(yè)單位很容易出現(xiàn)輕管理、重技術(shù)的問(wèn)題，信息安全管理的有效性將受到較為負(fù)面影響。信息技術(shù)現(xiàn)階段在我國(guó)各領(lǐng)域均有著較為廣泛的應(yīng)用并發(fā)揮著巨大作用，很多人因此產(chǎn)生了技術(shù)萬(wàn)能的錯(cuò)覺(jué)，認(rèn)為單憑信息安全技術(shù)便可以滿足信息安全需要的情況也較為常見(jiàn)。在輕管理、重技術(shù)的影響下，管理的作用往往被忽視，很多企業(yè)單位因此出現(xiàn)安全管理措施不科學(xué)、落實(shí)不到位問(wèn)題。考慮到信息安全風(fēng)險(xiǎn)無(wú)法完全消除，企業(yè)單位必須同時(shí)重視信息安全管理與信息安全技術(shù)，保證二者能夠真正配合，發(fā)揮相輔相成作用，進(jìn)一步降低信息安全風(fēng)險(xiǎn)的發(fā)生概率[1]。

1.2 信息安全中管理與技術(shù)的基本應(yīng)用

信息安全問(wèn)題可細(xì)分為管理和技術(shù)兩個(gè)方面，管理方面問(wèn)題包括信息安全的治理、業(yè)務(wù)連續(xù)性管理、內(nèi)外部審計(jì)、外包管理、基于信息系統(tǒng)的管理，技術(shù)方面的問(wèn)題則包括數(shù)據(jù)備份、網(wǎng)絡(luò)環(huán)境、機(jī)房環(huán)境、災(zāi)備體系建設(shè)、敏感信息處理、信息安全保密、密碼策略、信息訪問(wèn)控制、身份認(rèn)證等。在具體的信息安全管理工作中，企業(yè)單位可建立風(fēng)險(xiǎn)管理體系，設(shè)立信息安全管理部門(mén)，制定信息安全規(guī)范與制度，各部門(mén)還需要從內(nèi)控管理、稽核檢查、風(fēng)險(xiǎn)管理等不同角度管理、檢查各類(lèi)信息安全風(fēng)險(xiǎn)，保證信息安全工作的有效性、合規(guī)性、可控性;而在信息安全技術(shù)的基本應(yīng)用中，企業(yè)單位可圍繞安全傳輸、DMZ區(qū)、防火墻、實(shí)時(shí)監(jiān)控等技術(shù)建立網(wǎng)絡(luò)安全體系，基于數(shù)字證書(shū)、動(dòng)態(tài)口令的統(tǒng)一安全認(rèn)證平臺(tái)建設(shè)也需要得到重視，基于自身實(shí)際要求和技術(shù)問(wèn)題的專(zhuān)題研究和攻關(guān)也能夠?yàn)樾畔踩珕?wèn)題提供差異化的解決方案，有效降低信息安全問(wèn)題對(duì)企業(yè)單位發(fā)展帶來(lái)的負(fù)面影響[2]。

2 管理與技術(shù)相結(jié)合的信息安全綜合治理路徑

2.1 基于管理的信息安全綜合治理

信息安全綜合治理必須兼顧管理與技術(shù)，真正做到兩手抓兩手都要硬，這樣綜合治理的思想才能夠較好服務(wù)于信息安全的保障。在具體的信息安全綜合管理實(shí)踐中，企業(yè)單位的風(fēng)險(xiǎn)管理、信息科技、內(nèi)控管理、稽核檢查等部門(mén)均需要參與其中，各部門(mén)需基于自身的視角和職責(zé)獨(dú)立管理信息安全風(fēng)險(xiǎn)，有效信息安全風(fēng)險(xiǎn)可得到有效控制，各部門(mén)在互相配合協(xié)同工作的情況下還能夠保證彼此的獨(dú)立性，信息安全綜合管理自然能夠取得令人滿意的成果。例如，企業(yè)單位的各管理部門(mén)可積極加強(qiáng)彼此間的協(xié)同與溝通，在完成各自獨(dú)立工作的同時(shí)，建立聯(lián)合工作組或召開(kāi)聯(lián)席會(huì)議，這一工作溝通需定期圍繞信息安全等問(wèn)題展開(kāi)，信息安全管理工作的完善與改進(jìn)可由此獲得不同方面、不同角度的支持。信息科技部門(mén)也需要充分發(fā)揮自身作用，以此建立協(xié)同工作機(jī)制，開(kāi)展定期的技術(shù)交流、工作研討，保證企業(yè)單位的各部門(mén)均能夠參與到專(zhuān)業(yè)人才隊(duì)伍建設(shè)、信息安全工作改進(jìn)工作中，信息安全管理能力與管理水平可由此不斷提升。

2.2 基于技術(shù)的信息安全綜合治理

考慮到近年來(lái)我國(guó)各類(lèi)企業(yè)單位業(yè)務(wù)的復(fù)雜性和多樣化程度不斷提升，信息安全技術(shù)的應(yīng)用也存在較為顯著的多樣化特點(diǎn)，企業(yè)單位需采用不同的信息安全保障手段滿足不同的業(yè)務(wù)系統(tǒng)需要，不同信息安全手段同時(shí)也擁有多種具備不同特性的信息安全技術(shù)。在具體的信息安全技術(shù)應(yīng)用中，不同類(lèi)別安全手段的適用范圍和針對(duì)性選用必須得到重視，企業(yè)單位需做好頂層設(shè)計(jì)，開(kāi)展統(tǒng)一管理，以此體現(xiàn)信息安全技術(shù)的多樣性、層次化、綜合性特點(diǎn)，并同時(shí)保證信息安全系統(tǒng)建設(shè)的全面性，差異化模塊與公共模塊的分工同樣不容忽視，以此開(kāi)展綜合運(yùn)用，即可有效避免重復(fù)建設(shè)的問(wèn)題出現(xiàn)。例如，企業(yè)單位需明確互聯(lián)網(wǎng)服務(wù)系統(tǒng)、網(wǎng)絡(luò)環(huán)境、自助系統(tǒng)等方面安全技術(shù)擁有的不同安全應(yīng)用領(lǐng)域，不同安全應(yīng)用領(lǐng)域的適用技術(shù)和信息安全要求也需要得到重視。在一個(gè)領(lǐng)域內(nèi)，不同的處理環(huán)節(jié)和處理流程對(duì)適用技術(shù)、信息安全要求也存在顯著差別。在信息安全系統(tǒng)建設(shè)上，差異化的應(yīng)用安全模塊、公共的安全設(shè)施的配合與差異也不容忽視。以互聯(lián)網(wǎng)服務(wù)為例，主要涉及加密存儲(chǔ)、加密傳輸、系統(tǒng)間互認(rèn)、身份認(rèn)證、操作監(jiān)控等安全手段，身份認(rèn)證環(huán)節(jié)也需要使用多種技術(shù)手段。因此，按照統(tǒng)一信息安全策略的多種技術(shù)綜合使用屬于基于信息安全技術(shù)的信息安全綜合治理關(guān)鍵所在。

2.3 兼具管理與技術(shù)的信息安全綜合治理

為實(shí)現(xiàn)管理與技術(shù)相結(jié)合的信息安全綜合治理，必須重點(diǎn)關(guān)注信息安全工作的方法論、基本方針、實(shí)施原則，并以這類(lèi)內(nèi)容為指導(dǎo)思想，真正實(shí)現(xiàn)管理與技術(shù)的結(jié)合，信息科技管理也需要在這一過(guò)程中充分發(fā)揮自身作用。信息安全工作的方法論也可以被稱(chēng)為四個(gè)要素，包括管理、技術(shù)、實(shí)施、策略。管理指的是嚴(yán)格遵章守制、強(qiáng)化風(fēng)險(xiǎn)意識(shí)、多方綜合管理，管理的落實(shí)屬于其中關(guān)鍵;技術(shù)的主要內(nèi)容包括安全可控、規(guī)范有效、前瞻性把握、多種安全手段綜合運(yùn)用，技術(shù)保障屬于其中關(guān)鍵;實(shí)施需要?jiǎng)澐植煌南到y(tǒng)、信息安全等級(jí)要求，并落實(shí)分類(lèi)安全措施，分類(lèi)分級(jí)屬于其中關(guān)鍵;策略需開(kāi)展綜合評(píng)估，評(píng)估對(duì)象包括可承受性、安全性、方便性、利益和代價(jià)、時(shí)間和成本等多種因素，合理可行屬于其中關(guān)鍵;信息安全工作基本方針主要包括依法合規(guī)、綜合治理、狠抓落實(shí)、安全可控。依法合規(guī)指的是嚴(yán)格遵循各類(lèi)法律、政策、內(nèi)控制度、標(biāo)準(zhǔn)規(guī)范，以此明確信息安全工作的核心、依據(jù)、抓手、基礎(chǔ);綜合治理需做到管理與技術(shù)相輔相成，避免技術(shù)萬(wàn)能論的出現(xiàn);狠抓落實(shí)需圍繞制度建設(shè)與落實(shí)開(kāi)展管理，基于體系設(shè)計(jì)與實(shí)施應(yīng)用技術(shù);安全可控需關(guān)注國(guó)產(chǎn)化與外購(gòu)產(chǎn)品結(jié)合，自主研發(fā)與引進(jìn)吸收結(jié)合。結(jié)合上述基本方針，綜合治理理念即可在信息安全工作中得到更好體現(xiàn)，管理工作浪費(fèi)時(shí)間、可有可無(wú)、煩瑣無(wú)用等錯(cuò)誤認(rèn)知可有效避免，加強(qiáng)管理具備的“磨刀不誤砍柴工”作用也能夠受到正確認(rèn)識(shí)，信息安全體系的建設(shè)效率和質(zhì)量提升也能夠由此獲得支持;在企業(yè)單位的信息安全工作中，實(shí)施原則同樣需要得到重視，具體原則包括人人擔(dān)起責(zé)任、不留安全死角、落實(shí)基本方針、增強(qiáng)風(fēng)險(xiǎn)意識(shí)。

基于上述兼具管理與技術(shù)的信息安全綜合治理路徑，信息科技管理在信息安全綜合治理中所發(fā)揮的作用同樣不容忽視，信息科技管理需積極完成科技成果引進(jìn)與轉(zhuǎn)化、撰寫(xiě)相關(guān)材料、跟蹤重點(diǎn)項(xiàng)目、檢索國(guó)內(nèi)外相關(guān)領(lǐng)域?qū)＠閳?bào)資料、統(tǒng)計(jì)和上報(bào)科技創(chuàng)新各類(lèi)政策等基本工作，相關(guān)風(fēng)險(xiǎn)源的辨識(shí)與評(píng)估、安全風(fēng)險(xiǎn)應(yīng)急預(yù)案及措施的制定同樣需要得到重視。相關(guān)風(fēng)險(xiǎn)源的辨識(shí)與評(píng)估可圍繞重要數(shù)據(jù)展開(kāi)，意外斷電、服務(wù)器故障、數(shù)據(jù)庫(kù)損壞、網(wǎng)絡(luò)系統(tǒng)大面積癱瘓等因素需得到重點(diǎn)關(guān)注;安全風(fēng)險(xiǎn)應(yīng)急預(yù)案及措施的制定需明確響應(yīng)等級(jí)，以此結(jié)合實(shí)際情況制定和啟動(dòng)預(yù)案，并在必要時(shí)外請(qǐng)專(zhuān)業(yè)人員，應(yīng)用程序BUG的判斷和上報(bào)、服務(wù)器損壞的快速處理、安全規(guī)則的優(yōu)化配置同樣需要得到重視。此外，人員在信息安全管理中采取的措施同樣不容忽視，如針對(duì)性成立信息安全領(lǐng)導(dǎo)小組與信息安全工作組，以此開(kāi)展日常的信息安全檢查、重要崗位人員的政治素質(zhì)審查、定期考察制度的落實(shí)，并明確系統(tǒng)維護(hù)員安全責(zé)任，開(kāi)展針對(duì)性的第三方人員管理，配合針對(duì)性的信息安全知識(shí)與技能、政治思想教育、安全保密教育培訓(xùn)，管理與技術(shù)相結(jié)合的信息安全綜合治理的基礎(chǔ)即可進(jìn)一步夯實(shí)。

3 結(jié)論

綜上所述，管理與技術(shù)相結(jié)合的信息安全綜合治理需關(guān)注多方面因素影響。在此基礎(chǔ)上，本文涉及的信息安全綜合治理原則、基于管理的信息安全綜合治理、基于技術(shù)的信息安全綜合治理等內(nèi)容，則提供了可行性較高的信息安全綜合治理路徑。為更好保證企業(yè)單位的信息安全，各類(lèi)新型管理方法和信息安全技術(shù)的應(yīng)用必須得到重視。

參考文獻(xiàn)

[1]劉松濤.企業(yè)信息安全治理[J].信息與電腦（理論版），2019（09）：204-205.

[2]倪文靜.信息安全綜合治理過(guò)程[J].中國(guó)標(biāo)準(zhǔn)化，2017（18）：255-256.