关于企业信息安全保障流体系建设的探索.docVIP

关于企业信息安全保障体系建设的探索 ［摘 要］ 信息安全保障体系是由美国首先提出，并将其上升到国家战略、国际战略的高度。我国于2003年也明确提出建设我国的信息安全保障体系。本文通过对国内外建设的介绍，进而列出中国石油信息安全体系建设内容及存在问题，供其他企业借鉴。 ［关键词］ 信息安全保障体系； 中国石油； 企业 １ 信息安全保障体系概述 信息安全保障（ｉｎｆｏｒｍａｔｉｏｎ ａｓｓｕｒａｎｃｅ，ｉａ）来源于１９９６年美国国防部ｄｏｄ指令５－３６００．１（ｄｏｄｄ５－３６００．１）。其发展经历了通信安全、计算机安全、信息安全直至现在的信息安全保障。内容包括保护（ｐｒｏｔｅｃｔion）、检测（ｄｅｔｅｃｔion）、响应（ｒｅsponse）、恢复（ｒｅcovery） 4个环节，即ｐｄｒｒ模型。 信息安全保障体系分为人员体系、技术体系和管理体系3个层面，人员体系包括安全人员的岗位与职责、全体工作人员的安全管理两部分。技术体系由本地计算环境、区域边界、网络基础设施及支撑性基础设施组成。管理体系包括建立完善的信息安全管理体系、构建自上而下的各级信息安全管理组织架构、制定信息安全方针与信息安全策略及完善信息安全管理制度4个板块。通过纵深防御的多层防护，多处设置保护机制，抵御通过内部或外部从多点向信息系统发起的攻击，将信息系统的安全风险降低到可以接受的程度。 ２ 国外信息安全