第15章节企事业单位信息安全的管理.pptVIP

内容导读 企事业单位信息安全管理的最终目标是保护其信息资产，保证其业务的安全平稳运行。企业信息安全管理模型遵循管理的一般循环模式，即计划(Plan)、执行(Do)、检查(Check)和行动(Action)的持续改进模式，简称PDCA模式。 　　每一次的安全管理活动循环都是在已有的安全管理策略指导下进行的，每次循环都会通过检查环节发现新的问题，然后采取行动予以改进，从而形成了安全管理策略和活动的螺旋式提升。 信息安全管理策略的制订、信息系统的安全运行管理和信息安全应急管理是企事业单位信息安全管理的关键环节。风险评估是安全策略制订的重要依据，而以“信息安全应急响应预案、加强应急机制建设，建立健全应急体制，依据相关法制”的一案三制为核心内容的应急管理体系建设是做好信息安全应急管理工作的基础。 建立完善的信息安全管理体系是企事业单位进行科学信息安全管理的客观要求。ISO/IEC 27000系列标准中的27001《信息安全管理体系要求》和27002《信息安全管理实用规则》，阐述了一个组织建立信息安全管理体系的标准相关过程和活动，对提高组织的实际安全管理水平具有重要指导意义。 15.1 信息安全管理概述 该定义揭示了信息安全管理的主体(即国家、组织或个体)、对象(即信息安全的非技术因素)与目的(即实现信息安全目标)，并强调手段或技术体系的运用与系统管理的活动过程。该定义还明确了信息安全管理的对象主要是非技术因素，范围广泛，符合当前的综合治理理论，也提醒人们要用系统的观点来审视信息安全问题。 信息安全管理具有广义和狭义之分，广义的信息安全管理是指宏观层面上的国家的信息安全管理，狭义的信息安全管理则指微观层面上的组织或个体的信息安全管理。 15.1.2 人们对信息安全管理重要性的认识 随着对信息安全问题认识的不断深入，人们越来越认识到，做好信息安全工作不仅要靠信息安全技术，更要靠信息安全管理。通过深化这种思想，信息安全的实践活动可划分为三个阶段来体现。 第一阶段，技术浪潮。这个阶段主要通过技术手段保障信息的安全。 第二阶段，管理浪潮。因为高层管理人员对安全问题的关注，关于信息安全的文件化规定迅速发展起来。 第三阶段，制度浪潮。人们很自然地关心自己的组织比其他的组织在信息安全活动上是否更成功。信息安全标准化可以解决用户“如何得知在实践中漏掉了哪些方面”，信息安全认证可以解决“怎么向合作伙伴证明组织的信息安全”，培育组织自己的信息安全文化可以消除“组织内部用户是组织的最大敌人”等问题。 15.1.3 信息安全管理的内容构成 不同的信息安全管理主体具有不同的信息安全管理目标和任务，因而其信息安全管理的内容构成也不相同。对于国家层面的信息安全管理机构和组织来说，主要致力于信息安全战略、信息安全政策及法律法规、信息安全标准与认证、信息安全治理、信息安全国际合作等方面的规划与实施； 对于企业、公司和学校这种普通组织机构而言，其信息安全管理的主要任务则是通过信息安全体系规划、信息安全策略制定、信息分级保护、信息安全风险管理、信息安全措施实施与协调、信息安全危机与应急管理、信息安全文化培育等来保障组织业务的连续性；而对于用户而言，则更侧重于个人权力的行使和个人财产和隐私的保护。 另外，对于普通组织和机构而言，业务性质的不同，其信息安全管理的内容和侧重点也不相同。各行业或部门的信息安全管理均体现出本行业或部门的特点，反映其特殊规律。例如，我们可以根据行业特点把普通组织和机构的信息安全管理划分为电子政务信息安全管理、电子商务信息安全管理、军队信息安全管理、校园网信息安全管理和银行信息安全管理等。 总之，信息安全管理的内容构成非常广泛和丰富，随着时代的发展和技术的进步，信息安全管理的内容、方法和手段也都在不断地变化和更新。 下面对信息安全管理领域的一些内容构成作简单介绍。 (1) 信息安全战略管理。 在当前全球化、信息化、网络化的背景下，信息安全在整个国家安全中具有极其重要的战略地位与意义，因此，信息安全战略管理成为当前各国信息安全管理的一项基本内容。 　　信息安全战略管理主要通过战略的研究、制定、实施与评估等，对信息安全复杂多变与不确定性的环境预先规划好目标及应对措施；从维护国家安全和保障国家信息化建设健康发展的高度，提出信息安全战略发展的指导思想、战略目标、推进策略、运作机制和实施路线等，以利于统一思想、综合协调、形成合力。进而指导、动员和促进信息安全的全面建设。 　　(2) 信息安全政策及