如何构建企业信息安全的体系.docVIP

如何构建企业信息安全的体系 　　网络构建的信息化高速公路，为全球信息的交换与获取提供了最便捷的手段，但也使企业信息安全受到严重威胁。据资料显示，2010年全球由于信息安全漏洞造成的损失达150亿美元。企业的信息安全与否，已经成为决定企业能否正常运行的重要因素。 　　为了保障企业的信息安全，必须建立一个企业信息安全体系。信息安全体系包含信息安全策略、信息安全组织、信息安全技术和信息安全建设与运行四部分内容（如图1所示），四者既有机结合、又相互支撑。企业的信息安全体系运作就是企业根据安全策略，由安全组织（或人员）以安全技术作为工具和手段进行操作，来维持企业网络的安全运行，从而使网络安全可靠。 　　 　　安全体系的普遍问题 　　 　　当前大多数企业的信息安全体系普遍存在以下四方面的问题： 　　信息安全策略方面：许多企业没有统一的安全运行体系；公司的安全策略没有正式的审批和发布过程，没有公司的行政力度进行保障，使得安全策略在企业内的执行缺乏保障；缺乏规范的机制定期对信息安全策略、标准制度进行评审和修订。 　　信息安全组织方面：缺乏完整、有效、责权统一的专门的信息安全组织，只是配有少量的兼职安全人员。信息安全工作没有明确的责任归属，工作的开展与落实有困难；缺少信息安全专业人员，缺乏相应的安全知识和技能，安全培训不足；缺乏对于全员的信息安全意识教育，桌面系统用户的安全意识薄弱