企業信息安全管理體系分析

王德正

（上海東方怡動信息技術有限公司，上海 201210）

在經濟全面發展的趨勢下，信息化和工業化不斷融合，企業的信息管理已經成為企業經營的重要部分，對于企業的設計研發、生產制造、業務銷售等都有著重要的影響。數據時代，企業對于信息的應用越廣泛，對信息體系的依賴就越強，企業所面臨的信息風險越高。企業在發展的過程中，既要發揮信息化的優勢和價值，也要做好信息的管理工作。要構建安全的信息管理體系，僅僅依靠技術是不夠的，必須要將技術和管理進行有效的結合，只有這樣，才能構建一個完整的安全體系，從而推動企業發展。

1. 企業信息安全管理的現狀

1.1 信息安全管理體系缺乏總體性的規劃和策略

企業對于信息的安全管理，通常都交由IT部門管理，許多管理人員會覺得信息管理就是IT部門的事情。在這個基礎上，企業的其他部門對于企業的信息安全建設，很少會關注，這是影響安全體系完整性的重要因素。IT部門的網絡技術對于信息的保護有一定效果，但卻缺乏管理作用。企業信息涉及到的人員包含各個部門，除了IT部門，許多部門的人員都會接觸到企業的信息，IT部門只能從技術上對信息和數據進行保存，但內部的信息保護，IT部門是沒有辦法完成的，這個環節需要專業的管理人員來規劃和管理。安全體系缺乏完整性和總體性的規劃，會讓企業的信息建設過于零散，也沒有辦法對信息資源的提供方進行有效的防護。

1.2 企業員工的信息安全意識薄弱，專業性人才缺乏

“重技術、輕管理。”這是所有企業發展中普遍存在的問題，關于企業的信息安全問題，許多管理人員缺乏正確的認識，甚至有管理人員認為信息安全就是殺毒和安裝防火墻。這樣的認知不僅片面，還會讓企業員工的安全意識變得薄弱。企業在發展的過程中，出于經濟利益的考慮，都會讓系統的管理人員承擔管理和系統配置的雙重責任，安全系統的設計和審核都是一人完成。要真正完成這兩項工作，需要非常專業的信息安全管理人員，但大部分企業的系統管理人員都不是專業人員，所以很難將安全管理的工作進行到位，這會給企業的安全管理造成嚴重的隱患，也容易讓企業信息處于失控的局面。

1.3 信息安全缺乏體系化的管理

要對信息安全進行有效的關系，需要一個完整的體系，但實際管理工作開展的過程中，許多企業的管理方式都是零散和傳統的。傳統的管理方式是補救，卻沒有查缺。基本都是管理過程中出了問題，再進行補救，但沒有出現問題之前，企業很少會進行預防。這種管理模式已經適應不了現代市場經濟的發展了，對于信息安全的管理也不夠全面。要對信息安全進行體系化管理，管理工作需要全面。預防、控制、改進、評估等環節缺一不可。

2. 企業信息安全管理體系構建的要點

2.1 完善信息安全管理的組織機構

要構建一個完整的管理體系，企業必須對管理的組織機構進行完善，組建一個專門的管理機制。管理工作開展的過程中，要明確各個人員的職責，這樣確保分工明確，職責到位。如果組織的機構不明確，安全管理工作開展的過程中，會出現人手不足的情況，對于管理工作的開展，也沒有辦法進行深入，這會降低管理工作的質量和力度。組織機構不夠完善，也會讓管理制度缺乏，這樣容易造成信息安全事件，所以企業構建管理體系的時候，一定要加強管理機制的完善，如圖1所示。

圖1 CISP知識體系結構

2.2 對物理環境進行有效的管理

安全管理的過程中，環境管理也是工作的重要組成部分。安全管理中的物理環境主要是指機房、設備、消防等，物理環境管理中，支持設備的管理尤為重要，信息技術不斷發展的過程中，對于計算機設備的要求也越來越高，所以安全管理工作開展的過程中，一定要加強對設備的管理。對于機房，企業可以根據業務發展的實際情況進行劃分和評審，根據設備的系統模塊建立相對應的管理制度。機房的消防管理也是安全重點，一定要構建消防系統，系統構建的過程中，要按照規定的消防要求。這個過程中，還要對工作人員進行消防知識的培訓，和應急演練。定期檢查消防設施安全，對于不符合規定的消防設施，及時更換和維護。對消防秩序進行監督和巡查，支持性的設備一定要建立監控系統，對于設備的資產管理、維護管理、系統應急等，一定要進行有效的管理，物理環境的管理是管理工作的基礎，也是開展工作的前提。

2.3 用戶和操作管理

對所有設備的運行實施網絡監控，要做到這一點，可以啟動設備的日志功能。對于重要設備，可以構建集中日志管理服務器，這樣可以對日志的審查進行分析。對設備進行定期維護，可以根據設備的重要性制定相對應的備份策略，對于設備的備份數據進行測試，這樣可以保障數據的完整性和可用性。設置用戶權限，遵循最小授權和權限分割的原則。所有賬號開通之后，要對初始口令進行修改采用高級密碼策略。對于密碼的變更，要建立嚴格的管理流程，對于影響安全組織和信息處理設施的系統變更，要加以控制，嚴格規定操作流程，這樣可以減少誤用系統帶來的風險。

2.4 信息系統的開發、維護和獲取管理

信息系統的獲取和維護過程，也是安全管理的重要內容，使用安全系統和工具的過程中，要對內部的應用系統和工具提出安全需求，這個過程中，需要在開發需求文件中對安全需求定義。如果軟件的開發過程中需要測試數據，一定要對數據進行選擇、保護和控制。對于個人信息和敏感信息一定要進行處理，嚴格控制訪問的流程和相關資料。對于非授權的功能一定要進行控住，這樣可以減少應用故障。

2.5 業務連續性管理

對安全體系內的系統和設施進行業務連續性管理分析，分析管理體系中可能會面臨的風險和故障，對風險進行等級評估。如果是不可接受的風險，可以采取降低風險措施，并構建應急方案。如果系統的運行環境發生了重大變化，要對系統的風險等級進行二次評估，根據應急的系統現狀和需求，制定連續性計劃。通過模擬測試的方法對計劃進行評估和審查，如果系統出現危機，業務連續性管理十分重要，不僅提高了企業風險防范的能力，還降低了業務中斷做帶來的損失。

3. 構建企業信息安全管理的有效策略

3.1 信息安全管理體系模型

現階段，對于信息安全管理的標準，最具代表性和權威性的是ISO/IEC 27000系列標準，信息安全的管理主要建立在風險管理上，采用風險分析的模式，降低風險發生的概率，所以信息安全管理的體系模型可以從以下幾分方面入手。首先，計劃和實施，對安全體系的計劃階段，主要是用來保證管理體系的構建，而實施是保障體系的內容和范圍。其次，檢查和改進。這一階段主要是對信息的安全識別和改進方案的實施。安全管理體系中，檢查是一個非常重要的環節，不僅能判斷安全管理是否科學，還可以檢查其安全措施是否有效。通過改進計劃，可以對系統進行完善。

3.2 信息安全管理體系構建的過程

安全管理體系的構建是一個系統的工程，企業要構建一個完整的體系，必須要得到企業領導的許可，只有這樣，才能保障安全體系構建的資源支持。但安全體系的運行需要各個部門的參與，所以企業對體系機構要進行重新設置。安全管理不僅僅是IT部門的事情，而是整個企業部門共同參與的管理工作，要構建一個完整的安全管理體系，需要整個企業的工作人員共同參與和協作。企業的信息安全組織機構包含決策層、管理層、執行層。要確保管理體系的正常運行，這三個組織機構必須要發揮各自的作用。決策層通常都是企業信息安全管理的最高管理機構，需要為企業的安全管理提供各類的必要資源。管理層負責的是信息安全的管理和監督、教育和考核。中小型企業以IT部門承擔這一職責，但要確保安全管理體系正常運行，需要設立專門的管理部門。執行層是策略和計劃落實額的人員，所以執行人員一定要加強自身的專業素質和水平。

3.3 建立管理體系

一個完整體系的建立需要涵蓋多個方面，可以從以下幾點入手。首先，制定信息安全的方針和策略。關于信息的安全管理，企業在發展的過程中應該制定一個總體的方針。根據企業的發展方向和實際情況，制定對應的策略。其次，對安全管理體系的范圍進行定義，任何一個企業的資源都是有限的，所以構建管理體系的時候，對管理范圍的定義很重要。要做出準確的定義，可以從組織、人員、技術和設備等方面考慮，這樣可以形成完整的管理體系。在體系構建的過程中，風險的評估是不可缺少的一個環節，企業需要對現有的信息框架進行評估，在現有的基礎上進行完善和補充，并產生新的評估數據。最后，制定處理計劃。對企業所面臨的風險，管理體系需要制定專門的處理計劃，對于不可控制的風險，可以采取轉移和降低的方法進行處理，處理計劃實施的過程中，一定要落實相關責任。對信息安全管理體系進行編寫的過程中，其內容要符合企業的發展現狀，操作方法具有實用性。

4. 結語

對于企業信息的管理，沒有絕對的安全性可言，企業構建安全管理體系之后，并不代表企業的信息管理就沒有了風險，管理體系只是對企業的信息風險進行預防、降低和處理。這樣可以減少企業的經濟損失，也能保障企業的可持續發展。但企業要落實管理體系，需要對管理體系中出現的問題進行分析、總結和改進，只有這樣，才能真正發揮管理體系的作用。