论文部分内容阅读
目前,国内的大型企业基本上已全面运用了ERP、CRM、SCM等信息系统来对企业的各种资源进行管理,以降低运营成本、缩短运营周期、提高生产力、提高企业效益。随着信息系统的广泛应用,信息安全问题也就越来越受到人们的关注,大多数对安全问题的认识还只是停留在技术层面上,很少有人从系统的角度去看问题,即使那些具有前瞻性的企业也是主要依靠传统的管理方法和手段来实现。传统的管理模式缺乏现代的系统管理思想,而技术手段又有其局限性,由此就产生了这样的现象:企业花了很多的钱去购买信息安全产品,但却不知道本企业的信息安全状况到底如何,还有哪些问题需要注意。这种状况是很令人担忧的。为使信息系统能够为组织的业务运作提供强有力的支持,必须要有一套管理体系来了解信息系统与资源运作的现状,进而采取必要的改善措施,以防患未然。
在目前的管理和技术条件下,保护信息安全,全球通行的、最有效的方式是采用系统的思想,采取管理与技术相结合的手段,建立一套信息安全管理体系。
1 应用系统思想解决安全问题
实践证明,信息安全是个复杂的系统问题,必须以系统的方法来解决。建立管理体系是系统解决复杂问题的有效方法。正如同为了保证质量管理的有效性、充分性和适宜性,组织需要建立质量管理体系,为了保证信息安全管理的有效性、充分性和适宜性,组织需要建立信息安全管理体系。
从系统管理的观点来看,一个体系(系统)必须具有自组织、自学习、自适应、自修复、自生长的能力和功能才可以保证其持续有效性。信息安全管理体系通过不断地识别组织和相关方的信息安全要求,不断地识别外界环境和组织自身的变化,不断地学习采用新的管理理念和技术手段,不断地调整自己的目标、方针、程序和过程等,才可以实现持续的安全。
2 应用系统思想确定管理目标
明确信息安全管理目标组织的信息资产和其他资产一样对组织具有重要作用,组织为了保证这些信息资产的安全,需要付出持续的努力。在采取行动之前,需要首先理解信息安全的目标。为了保障组织信息资产的安全,为了更好地理解和便于操作,信息安全管理目标通常被分解为保持组织信息资产及其所支持业务流程的三个性质:首先是保密性,即保障信息只能被授权使用的人访问;其次是完整性,即保护信息及其处理方法的准确性和完整性;第三是可用性,即保障授权使用人在需要时可以获取信息和使用相关的资产。
各类组织,无论其规模和性质,其信息安全管理行为的目的都是为了保障组织的信息资产及其所支持业务流程的保密性、完整性和可用性。如果把组织的信息安全管理行为作为一个系统来看待,其输入应该是组织和其他相关方对组织信息安全管理的要求和期望,而输出应该是令组织和相关方满意的信息安全状态,组织不仅需要达到满意的信息安全状态,而且要持续地保持这种状态。这要求组织建立保持机制,保证组织能够不断地识别并适应自身情况和环境的变化。
3 应用系统思想建立管理体系
组织应该应用系统思想,在其整体商业活动和风险范围内,建立、实施、保持并持续改进一个文件化的信息安全管理体系,为了满足这个总要求,将过程分解为“计划、实施、检查、纠错”四个阶段,通过四个阶段周而复始地循环,使体系得到保持和改进。这个过程不仅可以用于信息安全管理体系的整体过程,同样可以应用于体系所涵盖的任何其他过程及其子过程,例如信息安全风险评估或者商务持续性计划的安排等过程。
(1) 计划阶段,要保证信息安全管理体系得以顺利建立,必须针对风险制定可行、有效的风险处理计划,针对系统制定明确、详细的实施进度计划,计划的制定是安全管理体系建立的基础。
(2) 实施阶段,就是执行计划阶段的决定和方案,配备相应的资源,进行必要的培训,保持计划的信息安全管理文件,在组织内形成适当的风险和安全文化,获得所有相关方的支持。
(3) 检查阶段,目的是确认控制方法按既定的目的行之有效,发现改进的机会。包括:例行检查、自查程序、向其他人学习、审核和管理评审等。很多計算机系统可以做到自动审核,联动响应机制几乎可以做到即时审核、即时响应。当然,标准还要求组织有其他的响应安排,例如响应安全失效事件、所保护信息资产的重要更改、新威胁或薄弱点的出现等。当然,每年还必须进行至少一次的管理评审,以确保整个管理体系达到既定方针目标。
(4) 纠错阶段,不仅需要根据检查的结果采取纠正措施,重要的是以长远的眼光观察和解决问题,确保工作不仅致力于目前的问题,而且还要预防或降低类似事故再发生的可能性,这应成为持续改进循环的本质部分。组织应将体系的更改及时通知相关方,如需要还应该安排必要的安全培训。
计划和实施阶段一直延伸到第一次管理评审,可以认为是信息安全管理体系持续改进过程的“启动器”。检查和纠错阶段通常是进一步补充、改正、改善前面所识别并实施的安全方案。通过这样一个闭合的环,信息安全管理体系得以自组织、自学习、自适应、自修复、自生长,使管理体系具备自我发展的能力。
面对信息安全面临的大量问题,很多学者从技术和管理的角度进行了不同程度的研究,希望通过某种方式能够保证信息的安全。只有运用系统的思想,本着三分技术、七分管理的理念建立安全管理体系,才能在最大限度上保证信息安全,否则,再先进的技术手段也不能发挥全部的作用。
在目前的管理和技术条件下,保护信息安全,全球通行的、最有效的方式是采用系统的思想,采取管理与技术相结合的手段,建立一套信息安全管理体系。
1 应用系统思想解决安全问题
实践证明,信息安全是个复杂的系统问题,必须以系统的方法来解决。建立管理体系是系统解决复杂问题的有效方法。正如同为了保证质量管理的有效性、充分性和适宜性,组织需要建立质量管理体系,为了保证信息安全管理的有效性、充分性和适宜性,组织需要建立信息安全管理体系。
从系统管理的观点来看,一个体系(系统)必须具有自组织、自学习、自适应、自修复、自生长的能力和功能才可以保证其持续有效性。信息安全管理体系通过不断地识别组织和相关方的信息安全要求,不断地识别外界环境和组织自身的变化,不断地学习采用新的管理理念和技术手段,不断地调整自己的目标、方针、程序和过程等,才可以实现持续的安全。
2 应用系统思想确定管理目标
明确信息安全管理目标组织的信息资产和其他资产一样对组织具有重要作用,组织为了保证这些信息资产的安全,需要付出持续的努力。在采取行动之前,需要首先理解信息安全的目标。为了保障组织信息资产的安全,为了更好地理解和便于操作,信息安全管理目标通常被分解为保持组织信息资产及其所支持业务流程的三个性质:首先是保密性,即保障信息只能被授权使用的人访问;其次是完整性,即保护信息及其处理方法的准确性和完整性;第三是可用性,即保障授权使用人在需要时可以获取信息和使用相关的资产。
各类组织,无论其规模和性质,其信息安全管理行为的目的都是为了保障组织的信息资产及其所支持业务流程的保密性、完整性和可用性。如果把组织的信息安全管理行为作为一个系统来看待,其输入应该是组织和其他相关方对组织信息安全管理的要求和期望,而输出应该是令组织和相关方满意的信息安全状态,组织不仅需要达到满意的信息安全状态,而且要持续地保持这种状态。这要求组织建立保持机制,保证组织能够不断地识别并适应自身情况和环境的变化。
3 应用系统思想建立管理体系
组织应该应用系统思想,在其整体商业活动和风险范围内,建立、实施、保持并持续改进一个文件化的信息安全管理体系,为了满足这个总要求,将过程分解为“计划、实施、检查、纠错”四个阶段,通过四个阶段周而复始地循环,使体系得到保持和改进。这个过程不仅可以用于信息安全管理体系的整体过程,同样可以应用于体系所涵盖的任何其他过程及其子过程,例如信息安全风险评估或者商务持续性计划的安排等过程。
(1) 计划阶段,要保证信息安全管理体系得以顺利建立,必须针对风险制定可行、有效的风险处理计划,针对系统制定明确、详细的实施进度计划,计划的制定是安全管理体系建立的基础。
(2) 实施阶段,就是执行计划阶段的决定和方案,配备相应的资源,进行必要的培训,保持计划的信息安全管理文件,在组织内形成适当的风险和安全文化,获得所有相关方的支持。
(3) 检查阶段,目的是确认控制方法按既定的目的行之有效,发现改进的机会。包括:例行检查、自查程序、向其他人学习、审核和管理评审等。很多計算机系统可以做到自动审核,联动响应机制几乎可以做到即时审核、即时响应。当然,标准还要求组织有其他的响应安排,例如响应安全失效事件、所保护信息资产的重要更改、新威胁或薄弱点的出现等。当然,每年还必须进行至少一次的管理评审,以确保整个管理体系达到既定方针目标。
(4) 纠错阶段,不仅需要根据检查的结果采取纠正措施,重要的是以长远的眼光观察和解决问题,确保工作不仅致力于目前的问题,而且还要预防或降低类似事故再发生的可能性,这应成为持续改进循环的本质部分。组织应将体系的更改及时通知相关方,如需要还应该安排必要的安全培训。
计划和实施阶段一直延伸到第一次管理评审,可以认为是信息安全管理体系持续改进过程的“启动器”。检查和纠错阶段通常是进一步补充、改正、改善前面所识别并实施的安全方案。通过这样一个闭合的环,信息安全管理体系得以自组织、自学习、自适应、自修复、自生长,使管理体系具备自我发展的能力。
面对信息安全面临的大量问题,很多学者从技术和管理的角度进行了不同程度的研究,希望通过某种方式能够保证信息的安全。只有运用系统的思想,本着三分技术、七分管理的理念建立安全管理体系,才能在最大限度上保证信息安全,否则,再先进的技术手段也不能发挥全部的作用。