返回
浅谈企业信息安全现状和构建isms提升信息安全管理水平

浅谈企业信息安全现状和构建isms提升信息安全管理水平

ID:32980609

大小:61.51 KB

页数:7页

时间:2019-02-18

浅谈企业信息安全现状和构建isms提升信息安全管理水平_第1页
浅谈企业信息安全现状和构建isms提升信息安全管理水平_第2页
浅谈企业信息安全现状和构建isms提升信息安全管理水平_第3页
浅谈企业信息安全现状和构建isms提升信息安全管理水平_第4页
浅谈企业信息安全现状和构建isms提升信息安全管理水平_第5页
资源描述:

《浅谈企业信息安全现状和构建isms提升信息安全管理水平》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、浅谈企业信息安全现状和构建ISMS提升信息安全管理水平【摘要】本文分析了企业信息安全面临的问题,并提出解决网络与信息安全不仅应从技术方面着手,更应加强网络信息安全的管理工作。为了提高企业信息安全管理水平,引入在企业构建信息安全管理体系(ISMS,InformationSecurityManagementS〜tem)o并对ISMS体系建设运行的各个阶段的关键点进行扼要分析,供企业构建ISMS体系建设时参考。【关键词】企业,信息,安全【中图分类号】F270.7【文献标识码】A【文章编号】1672-5158(2012)11

2、-0130-02一、企业信息安全现状近年来,随着企业信息化进程的不断推进,许多企业都完成了涵盖基础自动化、过程控制、生产执行到专业管理的信息系统,内容覆盖了硬件网络平台建设、办公自动化(0A)、企业资源计划(ERP)、对基础网络、过程自动化进行升级改造等,企业业务的关键流程如研发、生产与销售对信息系统的依赖性非常高。企业日益复杂庞大的信息系统也无时无刻在面临来自于内部和外部的威胁。当前企业信息可能面临的安全威胁、存在的安全隐患。1.可能面临的安全威胁物理安全威胁主要表现在企业的软件资产和硬件资产、面临自然灾害、环境事

3、故及不法分子通过物理手段进行的违法犯罪等威胁;网络安全威胁主要表现在黑客攻击、垃圾邮件泛滥、病毒、木马造成网络拥塞与瘫痪,内部攻击,冲突域造成网络风暴,黑客的入侵或者使得不法员工可以通过网络泄漏企业机密等。数据安全威胁主要表现在:数据库数据丢失,财务、客户信息及订单数据被破坏或删除、窃取、备份数据被人恶意篡改、不可预测的灾难导致数据库的崩溃等。内部网络之间、内外网络之间的连接安全随着企业的发展壮大,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全

4、,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。2•可能存在的安全隐患网络规划不完善。信息网络建设的初期,没有把构建信息安全体系作为主要的功能来实现。虽然以后采取了一些安全措施,缺乏整体性和系统性。目前从便携设备到可移动存储,再到智能手机、PDA,以及无线网络等。每一项新技术,每一类新产品的推广伴随着新的问题。企业在面临着日趋复杂的威胁的同时,遭受的攻击次数也日益增多。技术设计不完善。随着电脑技术的不断发展,一些技术上的漏洞和设计方面的缺陷也就随之而来。如操作系统、数据库、网络软件

5、及应用软件等各个层次及网络设备本身存在的技术安全漏洞等。安全管理不完善。由于信息安全管理制度不健全或贯彻落实不够;员工的安全防范意识不强;构建安全体系的资金投入与运维现状需求存在矛盾等因素,导致安全管理层面的安全措施及安全技术难以有效实施。为了防止信息安全事件的发生,通行的做法是通过部署防火墙、入侵检测、入侵防范系统、防病毒系统、数据备份、数据加密、漏洞扫描、上网行为管理系统等进行防范。然而,此类技术手段,却无法阻止人为因素导致的破坏。针对上述分析,笔者认为,构建一个规范的信息安全保障体系必须从管理、技术两方面着手,

6、通过建立企业内部信息安全管理体系的有效措施把可能面临的安全威胁最大限度地弱化,同时针对信息系统的“弱点”进行改进,以此降低潜在的安全危险。二、加强信息安全工作的途径1.建立安全体系结构框架俗话说“三分技术,七分管理”,任何技术措施只能起到增强信息安全防范的作用。为此,管理部门首先需借助相应的行政手段制定适合本单位的信息安全管理制度,建立一个长期有效的安全管理机制。加强安全技术的管理和人员的培训,提高员工的信息化应用水平。其次,技术部门要加强物理场所的安全管理,制定相应的访问控制策略规范网络应用安全,整合现有资源实现能

7、够支撑边界安全和访问控制的要件,同时实现从终端行为一主机全过程的完整安全,实现公司业务正常有序的运行。1.通过实施信息安全管理体系提升管理水平信息安全管理体系是系统地对组织敏感信息进行管理,涉及到人、程序和信息技术系统,其依据是信息安全管理体系标准-IS027001oIS027001清晰地定义了ISMS是什么,并对企业主要安全管理过程进行了详细的描述。通过对企业信息系统的信息安全方针,信息安全组织,资产管理、人力资源安全、物理和环境安全管理、通信学术研究和操作管理、访问控制、信息系统获取开发和维护,信息安全事故管理、

8、业务连续性,符合性(IS027002要求的各个控制域)11个方面的处置,来建立企业信息安全管理体系。ISMS建设分为五个阶段,有准备阶段、风险评估阶段、实施阶段,运行阶段和持续改进阶段。2.1准备现状调研阶段现状调研阶段的主要工作是对组织的信息安全管理相关政策、制度和规范、业务特征或服务、现有的组织情况、网络信息与配置、日常操作与管理等内容进行

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。