關(guān)于信息安全管理體系建設(shè)的研究

摘 要：當(dāng)今世界是一個信息化的時代，隨著信息化的發(fā)展，信息安全管理問題成為當(dāng)今時代最為熱門的話題之一，信息安全管理體系建設(shè)尤為重要，它對國家與企業(yè)的發(fā)展具有深遠(yuǎn)的影響，做好信息安全管理工作至關(guān)重要，本文將主要研究信息安全管理體系建設(shè)的有關(guān)問題。

關(guān)鍵詞：信息安全；管理體系；建設(shè)

中圖分類號：TP309

自世界上第一臺計算機(jī)發(fā)明以來，科學(xué)技術(shù)的飛速發(fā)展引領(lǐng)人們進(jìn)入了信息時代，各個方面的信息融入我們的日常生活，在這一背景下，信息安全問題也隨之出現(xiàn)，各種信息泄露事件經(jīng)常發(fā)生嚴(yán)重危害了人們的利益，擾亂了人們的正常生活，因此，建設(shè)一個安全可靠的信息管理體系就顯得尤其重要和緊迫，下面文章首先從信息安全管理體系建設(shè)的現(xiàn)狀及作用入手，講述了信息安全管理體系建設(shè)的重要意義，然后列出了信息安全管理體系建設(shè)的具體措施。

1 信息安全管理體系建設(shè)的現(xiàn)狀及作用

1.1 信息安全管理體系建設(shè)的現(xiàn)狀

雖然國家和企業(yè)非常重視信息安全問題，同時在信息安全管理體系建設(shè)方面也取得了巨大的進(jìn)步，但是在信息安全管理體系建設(shè)工作中仍然出現(xiàn)了不少的問題，導(dǎo)致信息管理秩序混亂，主要的問題有以下幾種：一是信息安全管理缺乏專門的管理機(jī)構(gòu)，沒有權(quán)威的管理機(jī)構(gòu)和統(tǒng)一的管理組織，導(dǎo)致信息安全管理法律法規(guī)無法正常有效的實(shí)行；二是管理部門對信息安全管理體系建設(shè)缺乏充分的考慮，信息業(yè)務(wù)的發(fā)展和信息安全管理工作不平衡，致使信息安全管理后期工作被動進(jìn)行，阻礙了安全管理體系的建設(shè)；三是有些信息安全管理部門僅僅局限于使用局部的安全產(chǎn)品，被動的使用存在漏洞的修補(bǔ)方式解決風(fēng)險問題，這種方法沒有科學(xué)性并且比較局限，不能全面的抵御風(fēng)險；四是技術(shù)人員業(yè)務(wù)素質(zhì)不高，技術(shù)不熟練，給信息安全管理工作帶來困難。

1.2 信息安全管理體系建設(shè)的作用

信息安全管理體系的建設(shè)具有重要作用，它可以提高工作人員的信息安全意識，規(guī)范信息安全管理組織行為，可以充分發(fā)揮和維護(hù)信息的競爭優(yōu)勢，在信息體系受到威脅時消除風(fēng)險，增強(qiáng)人們的信心，保障信息安全管理工作的順利進(jìn)行。

2 信息安全管理體系建設(shè)的相關(guān)措施

2.1 制定合理的信息安全管理體系建設(shè)規(guī)劃

做好信息安全管理的規(guī)劃是建立信息安全管理體系的前期工作，是信息安全管理體系建設(shè)的策劃與準(zhǔn)備階段，活動主要包括以下幾種：第一，做好教育培訓(xùn)規(guī)劃工作，這個活動可以提高相關(guān)人員的信息安全意識，為信息管理體系建設(shè)提供人才；第二，擬定信息安全管理計劃，這是最核心的環(huán)節(jié)，它規(guī)定了整個信息安全管理體系的運(yùn)行標(biāo)準(zhǔn)和實(shí)施計劃；第三，合理配置信息安全管理人員和資源，做好這一工作需要提前對信息市場進(jìn)行調(diào)研，根據(jù)調(diào)研的實(shí)際情況合理配置人力資源。

2.2 確定適用的信息安全管理體系建設(shè)范圍

確定信息安全管理體系的范圍需要有關(guān)組織根據(jù)自己的實(shí)際情況來確定需要重點(diǎn)管理的范圍，相關(guān)組織既可以在整體的信息安全管理組織范圍內(nèi)實(shí)施管理也可以在個別的信息安全管理范圍內(nèi)實(shí)施管理，在這個階段，相關(guān)部門應(yīng)該將管理組織劃分成不同領(lǐng)域的管理范圍，在已經(jīng)確定好的范圍內(nèi)實(shí)施重點(diǎn)管理。

2.3 建立嚴(yán)格的信息安全管理框架

建設(shè)信息安全管理體系需要事先建立一個嚴(yán)格的管理框架，這個框架的建立需要從整體出發(fā)，對信息安全的各個層面進(jìn)行設(shè)計規(guī)劃，根據(jù)信息的特點(diǎn)，性質(zhì)等條件進(jìn)行管理和控制，通過風(fēng)險分析，需求分析合理控制信息安全管理的每個步驟。嚴(yán)格的信息安全管理框架主要有四個步驟：第一，信息安全管理計劃。這個步驟是起點(diǎn)階段，主要為后續(xù)工作做準(zhǔn)備，活動包括建立管理機(jī)構(gòu)，明確管理責(zé)任，確定管理目標(biāo)，風(fēng)險評估等；第二，信息安全管理實(shí)施。這個階段是實(shí)現(xiàn)管理計劃的過程，活動主要包括信息安全管理策略，信息安全管理措施等；第三，信息安全管理檢查。這個階段是整個體系的關(guān)鍵，主要任務(wù)是檢查信息安全管理過程的效果如何，活動有監(jiān)視，審計，復(fù)查，評估等；第四，信息安全管理改進(jìn)。這個階段是管理工作的收尾階段，做好這項(xiàng)工作至關(guān)重要，這一階段主要是反饋?zhàn)詈蟮男Ч芊駶M足計劃的需求，然后根據(jù)評價進(jìn)行改進(jìn)，進(jìn)入新一輪的信息安全管理周期。

2.4 做好信息安全評估工作

信息安全評估是一項(xiàng)復(fù)雜的工作，它主要根據(jù)信息的風(fēng)險程度和資產(chǎn)的受保護(hù)的敏感度來對信息體系的機(jī)密性，完整性和可用性來進(jìn)行評估和調(diào)研，主要有三種信息風(fēng)險評估方法：第一種方法是基本風(fēng)險評估法，這種方法是參照所列出的風(fēng)險標(biāo)準(zhǔn)對資產(chǎn)的組織形式進(jìn)行風(fēng)險評估的一種方法，它主要針對常見信息風(fēng)險進(jìn)行評估，在基本風(fēng)險評估中要注意評估標(biāo)準(zhǔn)不能過高，還要加強(qiáng)對信息風(fēng)險的管理力度，保障信息安全；第二種方法是詳細(xì)風(fēng)險評估，這種方法對評估計劃要求詳細(xì)，對資產(chǎn)的組織形式進(jìn)行詳細(xì)的評估，這種方法比較花精力和時間，需要專業(yè)的技術(shù)知識，對降低風(fēng)險比較有效；第三種方法是基本風(fēng)險評估與詳細(xì)風(fēng)險評估結(jié)合，這種方法把兩種評估方式相結(jié)合不但能夠彌補(bǔ)單一評估方式的缺陷還能最大發(fā)揮兩種方式的功能，這種方法首先利用基本風(fēng)險評估方法找出顯而易見的風(fēng)險，然后利用詳細(xì)風(fēng)險評估對不確定的和不容易察覺的風(fēng)險進(jìn)行評估，這種方法可以大大降低風(fēng)險的發(fā)生，保障信息安全。

2.5 做好信息安全文檔工作

信息文檔是信息安全管理中的重要一環(huán)，做好信息安全文檔工作對建設(shè)信息安全管理體系具有非常重要的作用，應(yīng)該建立信息安全相關(guān)文檔，建立好各類信息的安全文檔，例如在我們?nèi)粘Ｉ钪蟹浅Ｊ⑿械目爝f，我們應(yīng)該總結(jié)好快遞管理范圍內(nèi)所用到的文檔內(nèi)容，記錄全每位消費(fèi)者的信息，建立安全方針文檔，適用范圍文檔，風(fēng)險評估文檔，實(shí)施控制文檔等，并嚴(yán)格對顧客的信息保密，做好安全工作。

3 結(jié)束語

通過上面的分析和研究，我們可以了解到信息安全管理體系建設(shè)的的現(xiàn)狀及其重要意義，相關(guān)管理部門應(yīng)該認(rèn)真分析信息出現(xiàn)風(fēng)險的原因，并作出合理規(guī)劃，采取相應(yīng)措施抵御信息安全風(fēng)險，做好信息安全管理工作，促進(jìn)信息安全管理體系建設(shè)的順利進(jìn)行。

參考文獻(xiàn)：

[1]程秀權(quán).信息安全管理體系建設(shè)研究[J].電信網(wǎng)技術(shù)，2007（09）：8-12.

[2]楊敏.企業(yè)信息安全管理體系建設(shè)的探討[J].電子技術(shù)與軟件工程，2013（24）：238-239.

[3]趙剛，王興芬.電子商務(wù)信息安全管理體系架構(gòu)[J].北京信息科技大學(xué)學(xué)報（自然科學(xué)版），2011（01）：21-25.

[4]曲成.在企業(yè)建立有效的信息安全管理體系[J].計算機(jī)安全，2011（11）：70-72.

[5]柳少華，孫華，文勃.論企業(yè)信息安全管理體系建設(shè)[J].無線互聯(lián)科技，2013（06）：99-100.

[6]張心明.信息安全管理體系及其構(gòu)架[J].現(xiàn)代情報，2004（04）：204-205.

作者簡介：鄭敏（l992.04-），女，山東棲霞人，本科在讀，研究方向：計算機(jī)科學(xué)與技術(shù)。

作者單位：遼寧師范大學(xué) 計算機(jī)與信息技術(shù)學(xué)院，遼寧大連 116081