信息安全策略先行..docVIP

信息安全 策略先行　　　　　　　　　　 山东科飞管理咨询有限公司 吴昌伦 王毅刚 随着社会信息化的深入和竞争的日益激烈，信息对组织的运作和发展所起到的作用越来越大，信息安全问题备受关注。目前关于信息安全的理论研究、方法研究和实践研究都取得可喜的成就，其中两个观点被本文所接受，作为本文所讨论问题的基点。一个是信息安全问题不仅仅是保密问题，信息安全（Information security）是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持，其终极目标是降低组织的业务风险，保持可持续发展；另一个观点是，信息安全问题不单纯是技术问题，它是涉及很多方面（历史、文化、道德、法律、管理、技术等）的一个综合性问题，单纯从技术角度考虑是不可能得到很好解决的。 我们在这里讨论的组织是指在既定法律环境下的盈利组织和非盈利组织，其规模和性质不足以直接改变所在国家或地区的信息安全法律法规。作为这样一个组织实体，如何确定自己的对策来解决信息安全这个复杂的课题呢？ 组织应该有一个完整的信息安全策略 信息安全策略（Information Security Policies）也叫信息安全方针，是组织对信息和信息处理设施进行管理、保护和分配的原则，它告诉组织成员在日常的工作中什么是可以做的，什么是必须做的，什么是不能做的，哪里是安全区，哪