随着我国企业信息化的普及,信息化给我国企业带来积极影响的同时,也带来了信息安全方面的消极影响。一方面信息化在企业发展的过程中,对节约企业成本和达到有效管理起到了积极的推动作用;另一方面伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严重。
由于我国中小企业规模小、经济实力不足以及企业领导者缺乏信息安全领域的知识、意识,导致一些企业的信息安全面临着风险,我国企业信息化进程已经步入普及阶段,解决我国企业的信息安全问题已经刻不容缓。数通畅联对于安全体系的建立是很重视的,后续的产品、方案演示环境都要进行测试,为此需要先确立安全体系的标准化。
传统的信息安全建设方法大都从单个系统出发,很少考虑整个组织的全局信息安全。但实际工作应该从组织整体出发,整体考虑所有系统,引入安全体系设计方法,合理搭建企业信息安全框架。
企业信息安全是以建立企业信息化空间可信环境与秩序作为发展目标的,不仅要保障数据系统安全,还要基于参与者主题“行为与内容”进行资源管理、认证及监控。因此,企业信息安全的重要任务是通过把企业内外部相互孤立的信息安全资源集中、整合起来,在一个安全框架内构成专门的管理、监管、认证、控制功能或职能,行成一个信息安全体系。
信息安全规划业务的主要工作包括:
1.信息安全策略的制定;
2.安全技术体系建立;
3.安全管理体系建立;
4.安全工程体系建立;
5.持续改进阶段。
企业信息安全框架要考虑企业的多样性。企业类型的多样性决定了他们信息安全建设的重点和关注点也有所不同。企业根据生产方式不同至少可以分为三大类型:制造型企业、流通型企业、服务型企业。以制造型企业为例,企业信息化以生产制造业务为核心。信息安全的主要关注点是生产流程的可靠性与设计生产的一致性。因此,用一套框架或系统服务于所有行业、不同规模的企业是不科学也不现实的。但是我们可以提出基本核心要素及结构供不同的企业参考。
信息安全管理体系框架的基本要素分为:安全管理、安全运维、安全技术建设。
安全管理体系采用“设计、实施、检查、改进”的过程模式建立企业信息安全管理体系。这四个步骤成为一个闭环,通过环的不断运转使信息安全管理体系得到持续改进,使信息安全绩效螺旋上升。对应这四个步骤,企业信息安全管理视图可以包括以下流程:合规管理、信息安全管理、信息安全策略管理、风险评估管理。
安全运维体系在企业信息安全框架中是信息安全的系统功能视图,是企业信息安全目标的系统化分解、系统化运行的核心视图。在安全策略的指导下,安全组织利用安全技术来达成安全保护目标的过程。企业安
