企業(yè)實施信息安全保障體系的探索和實踐論文

　　現代企業(yè)的生存與發(fā)展高度依賴網絡信息系統(tǒng)支持，確保網絡的通暢、信息系統(tǒng)安全可靠就顯得尤其重要。本文從信息安全綜合治理戰(zhàn)略理念出發(fā)，結合當前企業(yè)IT運維管理現狀和安全風險防范的新思路、新方法，從組織體系、制度體系和技術體系三個層面論述建立和實施信息系統(tǒng)安全運行治理防控保障體系，實現信息系統(tǒng)可持續(xù)改進運行。

　　1 綜合治理信息安全的戰(zhàn)略背景

　　IT管理技術發(fā)展歷程，從被動管理轉向主動管理，從服務導向轉向業(yè)務價值。在科學的IT管理方法論方面形成了一系列標準：諸如ITIL/ITSM以流程為中心的IT管理行業(yè)標準;ISO20000ITIL 的國際標準; COBIT面向IT審計的IT管理標準;COSO企業(yè)內部控制框架，面向內部控制;ISO17799：信息安全管理國際標準。當前有很多非常好的綜合性標準與規(guī)范可以參考，其中非常有名的就是ISO/IEC27000系列標準。ISO/IEC 27001通過PDCA過程，指導企業(yè)如何建立可持續(xù)改進的體系。

　　目前企業(yè)IT運維管理現狀。需求變化：IT本身快速變更;管理目標多角度變換并存。資源不足：IT 復雜性成長快于人員成長;IT 人員持續(xù)流動。業(yè)務影響：難以判斷事件對業(yè)務的影響和處理事件的優(yōu)先級。信息孤島：IT 資源多樣性的，不能進行事件的關聯分析，缺少統(tǒng)一的健康視圖。IT網絡與信息系統(tǒng)運維存在監(jiān)測盲點，缺少主動預警和事件分析機制。

　　如何把此項復雜的工程進行細化與落地，建立信息安全保障框架?在企業(yè)有限的IT資源(包括人員、系統(tǒng)等)等的前提下，IT運營面臨嚴峻的挑戰(zhàn)，企業(yè)多半缺乏信息系統(tǒng)應用開發(fā)能力，在很大程度上依賴于產品開發(fā)商的支持，為此，要想實現從混亂到清晰、從被動到主動、從應付到實現價值取向的服務思想，自主加外包的混合運維方式無疑是一種好的服務方式。

　　2 建立和實施信息安全保障體系思路和方法

　　針對IT管理問題和價值取向的服務方式，借鑒PDCA工作循環(huán)原理和標準化體系建設方法，從建立安全目標和組織體系、制度體系和技術體系等三個主要層面構建實施信息安全保障體系，以規(guī)范引導人、以標準流程引導人，以業(yè)績激勵人，從而促被動變主動，堅持持續(xù)改善，促進工作效率，促進安全保障。

　　2.1 建立和推行目標管理

　　體系建設應以目標管理為先導、循序漸進，按頂層布局、中層發(fā)力、底層推動內容設計與構建，為此，借鑒當前IT運維管理目標演進方式，確立各階段建設目標。

　　基礎架構建設階段(SMB)，手工維護階段。主要實現IT基礎架構建設。

　　網絡和系統(tǒng)監(jiān)控(NSM)階段，重視自動化監(jiān)控階段。主要實現IT設備維護和管理。

　　IT服務管理(ITSM)階段，重視流程管理階段。主要實現IT服務流程管理。

　　業(yè)務服務管理(BSM)階段，重視用戶服務質量與滿意度。主要實現IT與業(yè)務融合管理。

　　從IT投入和業(yè)務價值來看，前三個階段是間接業(yè)務價值，第四階段才是直接業(yè)務價值。

　　根據ITIL這個IT服務管理的方法論，先是搭建一個框架，借用工具的配合促進落地。如圖1、IT運維管理系統(tǒng)參考模型。

　　從安全目標出發(fā)，結合IT運維管理系統(tǒng)參考模型，每個階段的工作向著實現直接業(yè)務價值，不斷消除或減輕對性能的約束，促進IT產品或服務滿足確定的規(guī)范，實現企業(yè)效益最大化。服務好用屬性通過最終的績效和檢驗結果監(jiān)視測量價值成分。如圖2。

　　2.2 規(guī)劃融合信息安全保障體系

　　通過從組織體系、制度體系、技術體系層面建立和實施縱深防御體系，實現穩(wěn)健的信息安全保障狀態(tài)。

　�、俳M織體系：通過企業(yè)中高層的支持實現業(yè)務驅動和共同推動信息安全體系建設。當然，需要提出的問題，組織有可能要依賴長期可靠的合作伙伴：通過長期可靠的合作關系，快速引進外部專業(yè)資源和先進技術，可以幫助企業(yè)推動信息安全建設工作。為了幫助組織內外信息系統(tǒng)人員更好地遵守行業(yè)規(guī)范及法律要求，企業(yè)實施IT網絡與信息系統(tǒng)安全運維體系標準，組織應做到定期對全體員工進行信息安全相關教育，包括：技能、職責和意識，通過相關審核，證明組織具備實施體系的意識和能力。

　　②制度體系：企業(yè)IT網絡與信息系統(tǒng)安全運維系統(tǒng)建設的范圍包括機房安全、數據安全、網絡安全、服務器安全、業(yè)務應用安全、終端安全等。為此，企業(yè)應明確內部運維和外部協(xié)同的內容及其標準規(guī)范，包括績效標準。建立實施IT網絡與信息系統(tǒng)安全運維體系標準，首先把高效的信息安全做法固化下來形成規(guī)則制度或標準，成為組織中信息安全行為準則。保證事前預防、事中監(jiān)控和事后審計等安全措施的得到有效執(zhí)行與落實。

　　③技術體系：一般來說，網絡設備技術體系可以按照從上到下信息所流經的設備來部署工具。即從數據安全、終端安全、應用安全、操作系統(tǒng)與數據庫安全、網絡安全、物理安全六個方面來選擇不同的安全工具。按照“適度防御”原則，綜合采用各種安全工具進行組合，形成企業(yè)“適用的”安全技術防線。適時根據風險評估的結果，采取相應措施，降低風險。

　　其中，需要采用1～2種綜合管理的工具來幫助把所有的安全監(jiān)控工具進行統(tǒng)一管控。例如SOC是給企業(yè)日常維護管理者使用，ITRM作為綜合風險呈現，是給企業(yè)風險或安全管理層使用。

　　④體系運行和監(jiān)控：體系的日常運行和監(jiān)控就是從信息的生命周期進行流程控制，即在信息的創(chuàng)建、使用、存儲、傳遞、更改、銷毀等各個階段進行安全控制。之前不能忽視在信息創(chuàng)建開發(fā)安全階段的一個細化控制手段。在運行體系建設中，往往需要結合流程分析來關注信息的生命周期安全。運行過程中還有一個應急管理，包括災備中心建設、業(yè)務連續(xù)性計劃、應急響應等等都有相應的標準與理論支持。特別是BS25999標準的頒布，給如何建立一套完善的應急體系提供了參考。

　　3 企業(yè)建立和實施信息安全保障體系實踐

　　面對網絡系統(tǒng)互連，網絡技術與設備的安全管理規(guī)范的完善這個復雜而且浩大的工程，井岡山卷煙廠不僅依靠個體分散的技術措施或者管理防護，而且結合國家、社會和個人的力量構建綜合保障體系。

　�、僖罁蘒SO9000、ISO14000和OHSAS18000標準，國家計算機網絡和信息安全相關法律法規(guī)，參考當前科學的IT管理方法論方面形成了一系列標準，結合YC/T384煙草企業(yè)安全生產標準等，識別這些與信息安全相關的法律法規(guī)及其它要求，將信息安全保障體系(框架)融合到企業(yè)質量、環(huán)境和職業(yè)健康安全(以下簡稱為三標)綜合管理體系。

　�、诖_定信息安全管理目標并分步實施企業(yè)三年信息化發(fā)展規(guī)劃。自2012年開始，企業(yè)對照YC/T384煙草企業(yè)安全生產標準要求，在梳理和評價2000年以來企業(yè)多個企業(yè)信息化三年實施規(guī)劃實踐環(huán)境以后，制訂了新的三年信息安全管理目標和建設規(guī)劃，將目標和規(guī)劃分解到各年度實施，并納入到企業(yè)年度三標綜合管理體系建設目標和管理績效考核。

　�、劢�立信息安全管理組織和工作標準，同時納入三標綜合管理體系管理考核。從體系結構上促成企業(yè)作業(yè)層、管理層(中間層)和決策層的信息化，實現企業(yè)的物資(服務)流、資金流和信息流的一體化，及時、準確和完整地傳遞企業(yè)的經營數據，保證企業(yè)的經營管理。利用信息化改進管理，形成企業(yè)信息安全文化，促進員工接受、理解和主動配合，不斷提升全員的信息安全意識和技能，從而使信息安全管理真正落到實處。

　�、芙�立和實施信息安全保障體系文件標準。根據國家信息安全相關的法律法規(guī)及其它要求，結合行業(yè)和企業(yè)的特點和發(fā)展趨勢，規(guī)范管理流程和模式。網絡與信息系統(tǒng)建設“立足長遠、分步實施、突出重點”，做到“統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一平臺、統(tǒng)一編碼”，同步實施信息系統(tǒng)等級保護制度，促進企業(yè)與信息系統(tǒng)項目合作單位、地方通訊和公安等部門的社會化合作主要方式。企業(yè)內部各項工作實現規(guī)范化、信息化，做到一切工作都按照程序辦，同時，事事處于相互制衡的環(huán)境之下、人人處于監(jiān)督管理之中，從而形成職責明確、運轉協(xié)調、相互制衡的工作機制，為企業(yè)內部信息安全監(jiān)管提供強有力的保障。

　　幾年來，企業(yè)堅持企業(yè)信息安全方針目標，以迅速響應服務為宗旨。企業(yè)信息安全保障體系建設緊緊圍繞建立科學、規(guī)范、和諧、統(tǒng)一、開放的管理體系，全面融入了質量、安全和環(huán)境管理體系一體化建設和實踐，截止到2015年底，企業(yè)共梳理建立或整合并實施安全保障類文件包括企業(yè)管理標準、技術標準和工作標準共計31個標準文件。通過創(chuàng)新與改善和體系審核、管理評審和提高文件執(zhí)行率及持續(xù)改進方式保持了信息安全保障管理體系的持續(xù)改進和有效運行。

【企業(yè)實施信息安全保障體系的探索和實踐論文】相關文章：

企業(yè)信息審計的探索與實踐論文11-20

電力企業(yè)網絡和信息安全管理初探論文11-13

企業(yè)信息數據安全的研究論文11-16

教育技術裝備的實踐探索論文05-02

兒童校外教育理論與實踐探索論文12-02

高校校園網絡與信息安全管理工作探索論文11-20

企業(yè)集團財務結算中心的實踐和探索03-18

電子信息技術在企業(yè)安全管理的應用的論文11-14

酒店全面預算管理中的探索和實踐12-05

探討企業(yè)的信息安全12-01