隨著信息技術的高速發(fā)展和計算機技術及網(wǎng)絡技術的廣泛應用，信息系統(tǒng)在企業(yè)經(jīng)營戰(zhàn)略中的作用和地位日趨重要，企業(yè)對信息系統(tǒng)的依賴性也在不斷增長。隨之，信息安全問題也變得日益突出，信息系統(tǒng)的脆弱性也日漸凸顯。

　　一、信息安全威脅

　　我們要對企業(yè)信息網(wǎng)絡可能面臨的安全威脅和安全問題進行系統(tǒng)地分析，形成完整的安全需求，才能構(gòu)造符合企業(yè)實際的、可操控性的信息安全體系。

　　1.可能面臨的安全威脅

　　物理安全風險。包括：計算機系統(tǒng)的設備、設施、媒體和信息面臨因自然災害(火災、水災、地震)、環(huán)境事故(斷電、鼠患等)、人為操作失誤、以及不法分子通過物理手段進行違法犯罪等風險。

　　數(shù)據(jù)安全風險。包括：競爭性業(yè)務的經(jīng)營和管理數(shù)據(jù)泄漏，客戶數(shù)據(jù)(尤其是大客戶資料)泄漏、數(shù)據(jù)被人為惡意篡改或破壞等。

　　網(wǎng)絡安全風險。包括：病毒造成網(wǎng)絡癱瘓與擁塞、內(nèi)部或外部人為惡意破壞造成網(wǎng)絡設備癱瘓、來自互聯(lián)網(wǎng)黑客的非法入侵威脅等。

　　業(yè)務中斷風險。以上風險都可能造成企業(yè)業(yè)務中斷，甚至造成企業(yè)重大損失和惡劣社會影響，造成企業(yè)品牌和信譽。

　　2.可能存在的安全問題

　　(1)信息網(wǎng)絡系統(tǒng)建設規(guī)劃上的不完善

　　信息網(wǎng)絡建設初期，是以保證企業(yè)應用的功能和性能為主的，沒有將信息安全作為系統(tǒng)的主要功能之一。雖然利用當時的技術手段采取了一些安全措施，但安全保護措施較為零散，缺乏整體性與系統(tǒng)性，對于信息網(wǎng)絡的安全保護缺乏統(tǒng)一的、明確的指導思想，這是引發(fā)安全問題的主要源頭。

　　(2)技術與設計上的不完善

　　自計算機和互聯(lián)網(wǎng)問世以來。設計上的缺陷和技術上的漏洞隨之系統(tǒng)的深入應用逐步暴露出來，這些缺陷存在于計算機操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡軟件和應用軟件等的各個層次，有可能被某些惡意用戶利用，來獲取非法利益。這也是引發(fā)安全問題的主要原因。

　　(3)網(wǎng)絡互聯(lián)方面的風險

　　隨著企業(yè)業(yè)務的擴展，企業(yè)信息網(wǎng)同外部信息網(wǎng)的連接關系越來越復雜。在企業(yè)的信息網(wǎng)絡與外界網(wǎng)絡的連接之間，特別是和互聯(lián)網(wǎng)之間，如缺乏必要且有效地技術防范措施，那么惡意用戶容易利用漏洞侵害內(nèi)部網(wǎng)絡。

　　(4)安全管理面的問題

　　如果沒有建立專門的安全管理組織，信息安全管理制度不健全或貫徹落實不力，人員不到位，安全防范意識不強，或者企業(yè)為節(jié)約成本，在人力投入和實際需求之間存在矛盾。這些問題都會使安全技術和管理措施難以有效實施。

　　二、信息安全管理

　　信息安全不僅是技術問題，更主要的是管理問題。俗話說“三分技術，七分管理”，任何技術措施只能起到增強信息安全防范能力的作用。只有管理到位了，才能保障技術措施充分發(fā)揮作用。能否對信息網(wǎng)絡實施有效的管理和控制是保障信息安全的關鍵。構(gòu)建企業(yè)信息安全管理體系時，應建立從信息網(wǎng)絡規(guī)劃、建設、運行維護到報廢的全過程安全管理，建立評估、響應、防護、評估的動態(tài)閉環(huán)的管理過程。

　　1.加強全過程安全管理

　　信息系統(tǒng)整個生命周期分為規(guī)劃、建設、運維、報廢四個階段，不同的階段有不同的安全管理重點和要求。

　　1.1 信息網(wǎng)絡的規(guī)劃階段

　　此時應加強對信息安全建設和管理的規(guī)劃。信息安全建設本身就需要投入一定的人力、物力和財力，且無論管理工作還是技術建設工作都不可能一步到位，因此要根據(jù)企業(yè)狀況實事求是地確定信息網(wǎng)絡的安全總體目標和階段目標，分步實施，從而有效降低風險。

　　1.2 信息網(wǎng)絡建設階段

　　建設管理單位要將安全需求的匯總和安全性能、功能的測試列入工程建設各個階段工作的主要內(nèi)容，要加強對開發(fā)(實施)人員、開發(fā)過程中的資料(尤其是涉及各種加密算法的資料)、版本控制的管理，要加強對開發(fā)環(huán)境、用戶和路由設置、關鍵代碼的檢查。

　　1.3 信息網(wǎng)絡運行維護階段

　　·建立有效的安全管理組織架構(gòu)，明確各級人員職責，理順流程，制定完善的安全管理制度，實施高效管理。

　　·建立多應急預案體系，保證信息網(wǎng)絡不問斷運行，例如：設備故障應急預案、網(wǎng)絡中斷應急預案、災備系統(tǒng)應急等。

　　·加強對物理場所的安全管理，包括人員出入管理、機房物理安全管理、消防安全管理等。

　　·加強安全技術和管理培訓。大多損害是出自內(nèi)部人員的情況，必須加強對內(nèi)部人員的管理(包括技術人員和營業(yè)人員)和教育，讓相關人員知法懂法。

　　·加強對安全管理制度的執(zhí)行力度和違規(guī)行為的處罰力度。

　　1.4 系統(tǒng)及設備報廢階段

　　對于已過期的保密信息(紙質(zhì)文檔、電子文檔等)，要及時、集中銷毀；對于報廢設備處理時也要銷毀遺存在設備上涉及安全的信息。

　　2.建立動態(tài)的閉環(huán)管理流程

　　企業(yè)的信息網(wǎng)絡是一個處在不斷的建設、調(diào)整、再建設、再調(diào)整的過程，新的安全漏洞和設計缺陷總是不斷地被發(fā)現(xiàn)，單純的靜態(tài)管理流程已經(jīng)不能滿足要求的，需要建立動態(tài)的、閉環(huán)的管理流程。動態(tài)、閉環(huán)的管理流程就是要在企業(yè)整體安全策略的控制和指導下，通過安全評估和檢測工具及時了解信息網(wǎng)絡中存在的安全問題和安全隱患，據(jù)此制定安全建設規(guī)劃和安全加固方案，綜合應用各種安全防護產(chǎn)品，將系統(tǒng)逐步調(diào)整到相對安全的狀態(tài)。

　　總之，信息安全管理體系的建立是一個目標累加、持續(xù)改進完善的過程，是需要企業(yè)從上到下的參與和重視，不同的企業(yè)應根據(jù)自身的特點和具體情況，采取不同的步驟和方法，將企業(yè)的安全風險控制在可接受的范圍內(nèi)，才能保證企業(yè)業(yè)務的持續(xù)性和企業(yè)效益的最大化。