返回
信息安全保障体系在大型企业的实施

信息安全保障体系在大型企业的实施

ID:38722311

大小:181.00 KB

页数:5页

时间:2019-06-18

信息安全保障体系在大型企业的实施_第1页
信息安全保障体系在大型企业的实施_第2页
信息安全保障体系在大型企业的实施_第3页
信息安全保障体系在大型企业的实施_第4页
信息安全保障体系在大型企业的实施_第5页
资源描述:

《信息安全保障体系在大型企业的实施》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全保障体系在大型企业的实施·  近年来,信息化战略已经成为三一集团的核心经营战略,已初步形成了一个集团层面统一的信息化运营平台,在信息化给企业带来利益的同时,信息网络的安全问题日益突出。本文就三一集团信息安全保障体系建设的过程进行了分析,提出了大型企业建设信息安全保障体系的方案,从策略体系、组织体系、管理体系和技术体系等4个方面就具体实施策略进行了深入讨论,最后用实施结果数据证明了该方案的合理性与可行性。  一、引言  随着信息化程度的提高,信息技术“双刃剑”效应使信息安全问题日益突出,信息安全需求已从原来的系统安全和网络安全逐渐深入到系统内部体系安

2、全和数据安全上,并开始对管理体系造成一定的影响。  三一集团的信息安全战略从集团业务需求出发,遵从风险管理理念,在统一的信息技术战略规划基础上,借鉴国际最佳实践经验,为全面指导企业的信息安全工作制定了方针政策。为实现保障业务持续,促进业务发展的目的,规划了保证信息的机密性、完整性和可用性等建设目标。信息安全保障体系包括以下四个领域:信息安全策略、信息安全组织、信息安全管理和信息安全技术。  二、信息系统安全保障的含义  我们的企业需要一个怎样的科学的信息安全保障体系结构呢?PDRR是不是就够了?笔者认为,要提出一个信息安全保障体系结构,起码应该考虑以下几个

3、问题:一是保障信息安全,必须有哪些环节;二是这些环节应该能够全面衡量信息安全的保障能力;三是应该能够从宏观上指导信息安全保障体系的建设,而且在微观上能够推动具体的技术、政策、管理、标准和人员素质的发展和提高,而且应该把握住相应的评测原则。  信息系统安全保障是关于组织保障其信息系统,从而保障组织的信息和资产,最终保障组织的使命,并为组织信息系统的所有相关方提供信心的复杂系统学科。我们可以从以下方面理解和思考信息系统安全保障。  (1)信息系统安全保障不仅仅是一门技术学科,而是综合技术、管理和人,是一门复杂的系统学科。在技术上讲,不应只考虑具体的产品和技术,

4、而应进一步考虑信息系统整体的信息技术系统体系结构。在管理上,应考虑建立综合的信息系统安全保障、信息化的组织管理体系,明晰相应的岗位职责;信息系统安全保障应建立完善的规章制度并严格执行。在人员上,应加强所有使用信息系统人员的安全意识和能力,以及信息系统专业人员的专业技能和能力。  (2)信息系统安全保障不仅仅是一种项目性的暂时行为,而应融入信息系统生命周期的全过程,应考虑和覆盖信息系统计划组织、开发采购、实施交付、运行维护和废弃的整个生命周期,形成信息系统安全保障能力的长效机制。在具体实践中,信息系统安全保障工作应同信息化建设同步规划、同步建设,还应加强安全

5、工程的建设和监理管理。  (3)信息系统安全保障的目的不仅仅是保障信息系统本身,其根本目的是通过保障信息系统从而保障信息系统所支持的业务系统、保障组织的使命。信息系统安全保障不仅仅涉及信息系统本身,信息系统安全保障应以业务为主导、以组织的使命、社会职责和社会服务性为出发点和根本。  (4)信息系统安全保障不仅仅是孤立的自身的问题,还需要考虑电信、电力等提供基础设施的支持、需要承担保密、公共安全和国家安全等社会职责,因此是一个社会化、需要各方参与的综合性工作。  三、信息安全保障体系的基本框架  信息安全的特征是为了保证信息的保密性、完整性和可用性。信息系统

6、安全保障是以风险和策略为核心,在信息系统运行环境的整个生命周期中提供包括技术、管理、人员和工程过程在内的综合安全保障,在信息系统中保障信息的这些安全特征,并实现组织的使命。  1.信息系统安全保障模型  信息系统安全保障模型的主要内容是:以风险和策略为出发点和核心,即从信息系统所面临的风险和信息系统所处的环境出发,制定组织信息系统安全保障策略体系,通过在信息系统生命周期中对技术、工程、管理和人员进行保证,确保信息的保密性、完整性和可用性特征,从而实现和贯彻组织策略并将风险降低到可接受的程度,达到保护组织的信息和信息系统资产,保障组织实现其使命的最终目的。 

7、 图1描述了信息系统安全保障模型。图1信息系统安全保障模型  整个信息系统安全保障模型建立在信息系统所处的运行环境、风险和策略的基础上。信息系统所处的运行环境和风险,是信息系统安全保障的起点。正是由于针对信息系统运行环境的风险,有了特定威胁动机的威胁源、使用各种攻击方法、利用信息系统运行环境中的各种脆弱性、对信息系统的资产造成相应影响,由此才引出信息安全问题。信息安全就是在信息系统的运行环境中围绕着风险,针对其运行环境中所面临的各种风险,根据由此制定的策略体系,在信息系统生命周期各个阶段采取管理、技术等安全保障措施,将风险减少至预定可接受的程度,从而保障其

8、使命要求。  策略体系是组织对风险、资产和使命综合理解的基础上所作

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。