23章管理目标课题.doc

信息系统的建立往往是一个机构为完成某项使命而进行信息化的一项建设工作。因此，整个信息系统的核心目标，就是完成机构所赋予的使命。 信息系统本身的应用功能和组织机构的使命是密不可分的，因此，整个组织机构的信息、管理和业务是相互融合的。组织机构是一个广泛的概念，比如：一个学校、一个政府机关或一个企业都是一个组织机构。从目前信息化的进程来看，一个组织机构的发展优势与竞争力，在很大程度上取决去这个组织机构的信息化进程和信息化水平；而组织就够的可持续发展优势，则在很大程度上受到这个机构所拥有的信息系统的安全水平和安全程度的影响。 对于一个组织机构的信息系统，犹豫在技术上不存在万无一失的绝对安全，所以，在运行之中的安全信息系统也都要实施一定的管理手段，达到符合机构和业务要求的安全保护。一般来说，信息系统所追求的安全目标主要有四个方面。 （1）保护信息免受各种威胁的损害。一个机构所拥有的信息系统、所处理的各种信息，应该通过信息安全措施达到万无一失。但是完全的万无一失是不可能的，任何安全的技术都不可能保证信息的绝对安全，而且采用各种全技术还需要考虑保护成本的问题，所以需要通过适当的管理手段来减少外部威胁对信息系统所产生的损害。 （2）确保业务连续性。业务连续性本身是一个很大的课题，它与信息系统的连续性存在一定的差别，但也受到信息系统连续性的影响。信息系统的连续性一般是从技术角度理解的，也就是要确保网络畅通、系统高效运转、业务心态正常处理等。比如：恶意攻击事故的发生，信息系统遭受损害，这对各个部门的信息系统都是严峻的考验。当信息系统的数据收到破坏或网络中断时，整个信息系统也可能因此而瘫痪。在信息系统收到恶意攻击的情况下，如何确保业务的连续性是一个重要课题。因此，信息系统安全管理的目标是确保不要因为安全事故而使机构的业务发生中断，这是信息安全中一个很重要的目标。 （3）业务风险最小化。机构在设计用以支撑业务的信息系统时，需要深入考虑信息系统安全事故可能导致的业务风险。例如：机构业务可能因为安全事故导致重要商业机密（如生产成本、项目报价、产品设计参数等）的泄漏而产生巨大风险。另外，类似的安全事故也可能导致机构面临违反相关法律的风险。因此，信息系统安全设计需要充分考虑这些管理层也业务部门的需要，这也是信息系统安全管理所考虑的问题之一。 （4）投资回报和商业机遇最大化。机构一般都会通过信息化建设来维持自身的长远利益，保持竞争优势。机构可以通过不同的业务信息系统来分析业务情况，并随时为业务发展的机会做好准备。但机构的管理决策往往需要考虑成本与回报的平衡。因此，在设计信息系统时，机构不仅要通过信息系统安全措施来控制业务风险，另外也要确保安全措施建设成本的合理性。也就是说，需要在业务回报、业务风险与建设成本之间做出平衡。 这四个方面的目标是相辅相成的。从信息系统的信息保护，到业务的连续性的保障，到业务风险有效管理，直到最终达到组织机构的战略目标，从而实现投资回报和业务机遇最大化。任何一个机构在规划业务时，都必须考虑业务回报和目标规划回报。如果信息系统没有安全保障，整个机构的业务也就不可能得到有效的保障，整个机构的战略目标也就难以实现。当整个机构的业务目标不能实现时，这个机构就很难长期生存下去。因此，信息系统的安全对于一个机构的信息系统而言是至关重要的。 然而，信息系统不可能达到绝对的安全，信息安全的问题也不能单纯依靠技术手段来解决。一个实际有效的做法是从风险的角度处理安全的问题。机构先从管理的角度分析信息系统的风险，通过综合手段控制风险，并建立有效机制处理系统的剩余风险。一般来说，综合手段都建立在技术的基础上，并通过管理手段（如人员管理、物理环境管理、操作过程管理等）来控制系统环境和系统可能面对的风险。 2.1管理目标概述 在管理学中，管理是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达到机构目标的过程。在《管理的体系认证ISO/IEC9000：2000》的定义中，管理就是指挥和控制机构的协调活动。机构的任何活动的协调，任何资源的调用，都属于管理的范畴。 管理的过程，首先需要确定目标，使机构能够完成特定的使命。比如：对于一个企业，其目标是赢利。要达到这个目标，就必须有相应的资源，包括各方面的人力、物力、财力等资源。这些资源如何来组织，如何来使用，就需要通过领导、组织、计划、控制等环节来组织、利用、协调这些资源。只有管理好整个机构目前所拥有的和将来会拥有的内部资源，以及可以依靠的各种外部资源，才能达到这个机构所期望的目的，即其业务战略目标。这个过程就是管理。 信息安全管理也是管理的一种，具备管理的一般概念、一般内涵、一般外延，其管理的对象就是信息安全。因此，信息安全管理，就是指通过计划、组织、领导、控制等各个环节来协调各方面的人力、物