信息安全体系建设中的几个重点.docxVIP

PAGE 1 PAGE 1 信息安全体系建设中的几个重点  随着信息化的迅猛发展，信息安全的问题显得越来越突出，文章围绕信息安全体系建设中应关注的几个重点，阐述了IT资产管理的作用，方法和益处，以及风险分析的思路和方、法，提出了技术与运行管理并重构建信息安全体系时应处理好的五个关系。  0引言  近年来，随着信息化的迅猛发展，信息安全的问题显得越来越突出，信息安全事件频发。如何建好．管好涉密信息系统。确保国家隐秘和企业隐秘安全，保障信息化工作的顺当开展，成为一项亟待解决的难题。信息安全体系建设是一项系统工程，由管理者(信息安全的管理机构)、使用者、建设者(集成商、软硬件供应商)，管理对象(IT资产)、管理工具(技术、管理、策略)等要素组成。因此，要从技术、策略、管理，人员等各个方面综合考虑，抓住重点，协同发展。  1IT资产管理是信息安全的基础  同样、假如信息系统的管理者对所管理的对象，即IT资产的范围、数量、状态都不清晰，就不可能管好，更谈不上安全。管理员对IT资产的管理状态，是推断网络是否安全的基本要素。许多单位的管理员只管理机房的设备，面对用户终端缺乏管理手段，是很难真正管好的。可能有人认为资产管理是固定资产管理部门的事情，但IT资产管理与固定资产管理无论从管理的范围。部门，角度、粒度都是有区分的：从管理的范围来看，一个是管理与计算机信息系统相关的资产，包括软件和信息，一个是管理一定价值之上的资产，两者既有重合，也有区分；管理的部门不同，一个是IT管理部门，一个是固定资产管理部门；管理的角度不同。一个从应用价值和安全保密角度来管理，一个从资产的保管和货币价值角度来管理：管理的力度不同的，假如把固定资产管理比作管理一个设备的壳，那么IT资产管理不仅要管壳，更要管到壳里面的东西，如配置、运行状态等。因此，IT资产管理是特别有必要的，IT部门要担负起IT资产管理的责任。  IT资产管理仅做到建立台帐，给设备粘贴标签是远远不够的，可通过以下几个步骤来实现IT资产全生命周期的管理。  在管理中，应对一些部门和人员的不规范行为加强管理和监督，防止例外状况发生。由于这项工作涉及的部门和人员较多，尽可能采用信息系统辅助管理，提高管理效率和精确性。  2风险分析是构建信息安全体系的前提  风险分析是进行信息系统安全方案设计、建设以及策略配置的前提和基础。在进行风险分析时，应留意以下几点。  2．1深刻理解和运用标准  由于标准不可能太细，太详细，实现标准的方法、手段也不是唯一的，因此要深刻地、精确地理解标准，同时结合自身状况，提出相宜的解决方案。例如，由于密级的标识、标识的识别以及信息过滤等相关的技术尚未成熟，在对网络和计算机进行定级的时候。可采取就高不就低的原则，避免出现低密级计算机处理高密级信息的状况。   随着信息化的迅猛发展，信息安全的问题显得越来越突出，文章围绕信息安全体系建设中应关注的几个重点，阐述了IT资产管理的作用，方法和益处，以及风险分析的思路和方、法，提出了技术与运行管理并重构建信息安全体系时应处理好的五个关系。  0引言  近年来，随着信息化的迅猛发展，信息安全的问题显得越来越突出，信息安全事件频发。如何建好．管好涉密信息系统。确保国家隐秘和企业隐秘安全，保障信息化工作的顺当开展，成为一项亟待解决的难题。信息安全体系建设是一项系统工程，由管理者(信息安全的管理机构)、使用者、建设者(集成商、软硬件供应商)，管理对象(IT资产)、管理工具(技术、管理、策略)等要素组成。因此，要从技术、策略、管理，人员等各个方面综合考虑，抓住重点，协同发展。  1IT资产管理是信息安全的基础  同样、假如信息系统的管理者对所管理的对象，即IT资产的范围、数量、状态都不清晰，就不可能管好，更谈不上安全。管理员对IT资产的管理状态，是推断网络是否安全的基本要素。许多单位的管理员只管理机房的设备，面对用户终端缺乏管理手段，是很难真正管好的。可能有人认为资产管理是固定资产管理部门的事情，但IT资产管理与固定资产管理无论从管理的范围。部门，角度、粒度都是有区分的：从管理的范围来看，一个是管理与计算机信息系统相关的资产，包括软件和信息，一个是管理一定价值之上的资产，两者既有重合，也有区分；管理的部门不同，一个是IT管理部门，一个是固定资产管理部门；管理的角度不同。一个从应用价值和安全保密角度来管理，一个从资产的保管和货币价值角度来管理：管理的力度不同的，假如把固定资产管理比作管理一个设备的壳，那么IT资产管理不仅要管壳，更要管到壳里面的东西，如配置、运行状态等。因此，IT资产管理是特别有必要的，I