信息安全管理体系的实施过程(1) 责任编辑:admin 更新日期:2005-8-6 信息安全管理体系的实施过程 一、问题的提出 人类正进入信息化社会,社会发展对信息资源的依赖程度越来越大,从人们日常生活、组织运作到国家管理信息资源都是不可或缺的重要资源,没有各种信息的支持,现代社会将不能生存和发展。在信息社会中,一方面信息已成为人类重要资产,在政治、经济、军事、教育、科技、生活等方面发挥着重要作用,另一方面计算机技术的迅猛发展而带来的信息安全问题正变得日益突出,信息资产的比传统的实物资产更加脆弱,更容易受到损害,需要加以妥善保护。 长期以来由于媒体报道的侧重点以及生产商的广告宣传等多种因素的影响,国内公众对安全的认识被广泛误导。有相当一部分人认为黑客和病毒就已经涵盖了信息安全的一切威胁,似乎信息安全工作就是完全在与黑客与病毒打交道,全面系统的安全解决方案就是部署反病毒软件、防火墙、入侵检测系统。这种偏面的看法对一个组织实施有效的信息安全保护带来了不良影响。 目前,各厂商、各标准化组织都基于各自的角度提出了各种信息安全管理的体系标准,这些基于产品、技术与管理层面的标准在某些领域得到了很好的应用,但从组织信息安全的各个角度和整个生命周期来考察,现有的信息安全管理体系与标准是不够完备的,特别是忽略了组织中最活跃的因素――人的作用。考察国内外的各种信息安全事件,我们不难发现,在信息安全事件表象后面其实都是人的因素在起决定作用。不完备的安全体系是不能保证日趋复杂的组织信息系统安全性的。 因此,组织为达到保护信息资产的目的,应在“以人为本”的基础上,充分利用现有的ISO13335、BS7799、CoBIT、ITIL等信息系统管理服务标准与最佳实践,制定出周密的、系统的、适合组织自身需求的信息安全管理体系。 二、HTP模型 信息安全的建设是一个系统工程,它需求对信息系统的各个环节进行统一的综合考虑、规划和构架,并要时时兼顾组织内不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。在这里我们可以引用管理学上的木桶原理加以说明。木桶原理指的是:一个木桶由许多块木板组成,如果组成木桶的这些木板长短不一,那么木桶的最大容量不取决于长的木板,而取决于最短的那块木板。这个原理同样适用信息安全。一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。信息从产生到销毁的生命周期过程中包括了产生、收集、加工、交换、...
