信息安全是國家安全的基礎和關鍵。在信息安全三要素(人員、技術和管理)中,管理要素的地位和作用越來越受到重視。理解並重視管理在信息安全中的關鍵作用,對於實現信息安全的目標尤為重要。本文分析了信息安全管理的現狀,並重點探討了加強信息安全管理的策略。
關鍵詞:信息安全;管理;現狀;策略
信息安全管理是隨著信息和信息安全的發展而發展的。在信息社會,壹方面,信息成為人類的重要資產,在政治、經濟、軍事、教育、科技、生活等方面發揮著重要作用。另壹方面,計算機技術的快速發展帶來的信息安全問題日益突出。由於信息容易傳播、擴散和被破壞,信息資產比傳統的實物資產更脆弱,更容易受到破壞,這將使組織在業務運營過程中面臨很大的風險。這種風險主要來源於組織管理、信息系統和信息基礎設施的內在薄弱環節和漏洞,以及組織內外存在的大量威脅。因此,信息安全管理應運而生,對信息系統進行嚴格的管理和適當的保護。
1,國內信息安全管理現狀
1.1在國家宏觀信息安全管理中的問題
(1)法律法規問題。完善的信息安全法律法規體系是保障國家信息安全的基礎和第壹道防線。我國建立了法律、行政法規、部門規章和規範性文件三個層次的信息安全法律法規體系,對組織和個人的信息安全行為提出了安全要求。但是,我國的法律法規體系還存在壹些缺陷。壹是現有法律法規存在不完善之處,如法律法規之間內容交叉,同壹行為的行政處罰主體多,部分規章與行政法規相互抵觸,處罰幅度不盡相同。壹致;二是法規建設跟不上信息技術的發展,主要涉及網絡規劃建設、網絡管理運營、網絡安全、數據的法律保護、電子資金轉賬的法律認證、計算機犯罪、刑事立法、計算機證據的法律效力等方面的法規缺失。
(2)管理問題。管理包括組織建設、制度建設、人員意識三個層面。組織建設是指信息安全管理機構的建設。信息安全的管理包括安全規劃、風險管理、應急預案、安全教育培訓、安全體系評估、安全認證等諸多方面,僅靠壹個機構是無法解決這些問題的。信息安全管理機構之間要有明確的分工,避免出現“多策”和“拉政策”的現象。需要建立切實可行的規章制度,即進行制度建設,保障信息安全。比如對人的管理,需要解決多人責任、責任從孩子到人、任期有限、責任分離、最低權限等問題。有了組織和相應的制度,領導需要高度重視群防群治,也就是要加強人員的安全意識,這就需要信息安全意識的教育和培訓,高度重視信息安全問題。
(3)國家信息基礎設施建設。目前,構成中國信息基礎設施的網絡、硬件、軟件等產品幾乎全部基於國外的核心信息技術。國家信息基礎設施存在的問題引起了國家的高度重視。例如,“十五”期間,國家863計劃和科技攻關的重要項目包括“信息安全與電子政務”和“金融信息化”。2002年6月5438+10月1日生效的《電信業務經營許可證管理辦法》明確要求,電信產品軟件廠商不得在其軟件中預留“後門”,國外供應商不得遠程登錄中國電信運營商的操作系統,高級管理系統應使用國內可靠機構開發的軟件產品。
1.2我國微信息安全管理存在的主要問題如下。
(1)缺乏信息安全意識和明確的信息安全政策。大多數組織的最高管理層沒有充分意識到信息資產所面臨威脅的嚴重性,或者局限於IT安全,沒有形成合理的信息安全政策來指導組織的信息安全管理,表現為缺乏完整的信息安全管理體系,缺乏必要的安全法律法規和對員工進行防範安全風險的教育培訓,現有的安全規定可能得不到嚴格執行。
(2)重視安全技術,輕視安全管理。目前,組織普遍利用現代通信、計算機和網絡技術建設信息系統,以提高組織效率和競爭力,但相應的管理措施不到位,如系統運行、維護和開發中的崗位不明確,壹人兼任多個崗位的現象。
(3)安全管理缺乏系統化管理的理念。大多數組織現有的安全管理模式仍然是傳統的管理方法,而且是就事論事的、靜態的管理,而不是基於安全風險評估的動態的、持續改進的管理方法。
2.國外信息安全管理現狀
近年來國際信息安全管理的發展主要包括以下幾個方面。
(1)制定信息安全發展戰略和規劃。制定發展戰略和規劃是發達國家的壹貫做法。美國、俄羅斯和日本都已經或正在制定自己的信息安全發展戰略和計劃,以確保信息安全朝著正確的方向發展。
(2)加強信息安全立法,實現統壹規範管理。以法律的形式規定和規範信息安全工作,是有效落實安全措施的最有力保障。制定網絡信息安全規則的先行者是各大門戶網站,美國雅虎、AOL等網站在實踐中形成了自己的信息安全管理辦法。1O年6月5日,美國參議院通過了《互聯網網絡完整性和關鍵設備保護法案》。2000年9月,俄羅斯實施《網絡信息安全法》。
(3)步入規範化、系統化管理時代。隨著20世紀80年代IS09000質量管理標準的出現及其隨後在世界範圍內的推廣應用,系統管理的思想也被其他管理領域借鑒和采用,信息安全管理也在90年代進入了標準化和系統化管理時代。1995年,英國率先推出了BS7799信息安全管理標準,該標準於2000年被國際標準化組織認定為國際標準ISO/IEC 17799。現在這個標準已經引起了許多國家和地區的重視,並在壹些國家得到了推廣和應用。組織實施該標準可以全面系統地管理信息安全風險,從而實現組織信息安全。與此同時,其他國家和組織也提出了許多與信息安全管理相關的標準。
3.加強信息安全管理的策略
隨著國民經濟和社會信息化進程的全面加快,信息安全管理面臨著越來越嚴峻的形勢和挑戰。總體上看,目前我國信息安全管理仍處於起步階段,基礎薄弱,水平較低,亟待解決的問題很多。我們應該從全球的角度加強信息安全的組織和管理。
(1)建立集中統壹、分工協作的信息安全管理機制。信息安全的關鍵在於組織和領導。要從根本上加強我國信息安全工作,必須建立全國集中統壹、分工協作的信息安全管理機制。首先,國家應建立壹個能夠協調和維護各種安全利益的綜合性職能機構,並設立壹個具有高度權威性的國家信息安全委員會作為國務院信息化領導小組的常設機構,以改變目前在維護國家信息安全方面部門分散、職責不清、多頭管理、協調性差、政策多的局面;二是各職能部門要形成分工明確、責任落實、相互銜接、有機配合的組織管理體系,按照“誰主管、誰負責”的原則履行信息安全管理職責;第三,盡快建立較為完善的省市兩級信息安全領導管理體系,積極調動各種資源積極配合和協調信息安全工作,形成縱向和橫向的信息安全協調和信息共享機制;第四,充分調動政府、企業和個人的積極性,實現有機聯動,形成合力,共同建設國家信息安全體系;五是健全完善信息安全責任制,要求各部門各單位明確信息安全工作負責人,配備相應的信息安全員,真正把信息安全責任落實到人。
(2)加強信息安全法制建設,為信息安全管理提供執法依據。作為信息安全體系的重要組成部分,相關法律法規和標準體系的建設勢在必行。下壹步,要努力建立和完善信息安全法律法規體系;同時,要重視和加強信息安全執法隊伍建設;各信息安全職能部門的執法活動必須嚴格按照法律規定的權限和程序進行,正確行使職權、履行職責,保護企業和公民的合法權益,打擊網絡犯罪;各相關主管部門和運營單位要積極支持執法機關的工作,履行應盡的義務;社會組織、企業和個人應當自覺履行法律規定的信息安全責任和義務,依法在信息網絡環境中開展活動。
(3)采取有效措施,積極推進信息安全等級保護工作的順利開展。實施信息安全等級保護是國家解決信息安全保護問題的基本政策。信息安全等級保護是對信息系統社會價值和經濟價值保護的客觀要求,即根據信息的敏感性和重要性、系統應用的性質和嚴格價值以及部門的重要性,采取科學合理的保護措施;關系國計民生的國家關鍵信息基礎設施要分層次保護;適當的保護,合理的花費,避免盲目性和浪費。實施信息安全等級保護,國家必須從全局戰略角度考慮,抓住關鍵環節,建立長效保護機制。目前,信息安全等級保護試點工作已經積累了壹些經驗。為促進信息安全等級保護的傘式發展,應重點做好以下幾個方面的工作:明確信息系統等級保護中各方的責任;制定各種信息安全等級保護管理制度;制定和完善信息安全等級保護的管理規範和技術標準體系;依托社會和技術力量,建立技術支撐體系;信息安全等級保護備案、檢測和評估的信息系統和技術研發
工具;加強宣傳,培訓等等。
(4)努力探索和建立新形勢下的信息網絡犯罪預防和打擊體系。近年來,中國在打擊網絡犯罪方面做了大量工作,取得了很大成效。但是,隨著信息技術的不斷發展,網絡犯罪的形式更加多樣化,技術手段更加先進,這就要求我們不斷建立和完善以執法部門為主體,動員全社會力量的信息網絡犯罪防範和打擊體系。運用網絡技術建立系統、完整、有機銜接的行政執法和刑事執法體系,預防、控制、查處信息網絡犯罪,提高預防、控制、查處和打擊信息網絡犯罪的能力。要重點做好以下四個方面的工作:壹是全社會的防控機制。二是統壹指揮、快速反應的偵查機制。三是相關部門和單位的支持合作機制。四是公檢法三機關的協調配合機制。
回答補充
(5)在政策上采取各種措施,為信息安全的發展創造良好的環境。壹是加大信息安全投入。政府層面,財政要撥出專項資金,用於機關及相關機構、公益等信息網絡的安全建設和維護;在企業層面,要明確真正的建網需求,加強安全資金投入,建立自己的網絡安全防禦體系;此外,科研管理部門要加大信息安全技術研究的科研投入,對壹批前瞻性、基礎性的信息安全核心技術進行統壹安排,組織攻關,爭取有所突破。二是加快信息安全人才培養。從信息安全建設與管理對信息安全人才的實際需求出發,加強信息安全學科、專業和培訓機構建設,加快信息安全人才培養。我們應采取積極措施,吸引和用好高素質的信息安全管理和技術人才,實現人才效益最大化。第三,大力支持信息網絡安全服務業的發展。建議出臺相關政策支持信息安全服務行業發展,加強信息安全服務行業監管,積極引導信息網絡用戶借助信息安全服務單位提高安全管理水平和能力。
回答補充
四是增強全民信息安全意識。要充分利用新聞媒體和互聯網,加大信息安全宣傳力度,增強公眾的信息安全意識。要對全社會特別是青少年進行信息安全教育和法律法規教育,使他們掌握必要的信息安全知識和技能。
4.結論
信息安全管理是保護國家、組織、個人等各個層面信息安全的重要基礎。只有在有效的信息安全管理體系基礎上,完善信息安全管理架構,綜合應用信息安全管理策略和信息安全技術產品,才能建立真正的信息安全防護體系。
參考資料:
劉文艷。社會信息環境下的信息安全管理研究[J].網絡安全技術與應用,2007,3。
[2]李振山。現代電子商務系統安全技術研究[J].中國管理信息
, 2007,10.
[3]張紅旗等.信息安全管理[M].北京:人民郵電出版社,2007,11。