您好,欢迎访问三七文档
当前位置:首页 > 电子/通信 > 数据通信与网络 > 一种针对企业的信息安全体系建设实施方案
龙源期刊网一种针对企业的信息安全体系建设实施方案作者:郭永陈融圣詹桂堡曾忠诚卢腾镞李壮相来源:《电脑知识与技术》2008年第36期摘要:针对在企业信息化程度越来越高的情况下,信息安全成为关乎企业生命的重要因素,提出了一种针对企业的信息安全体系建设实施方案。从组织建设、管理建设和技术建设三个方面进行阐述。在具体的实施过程中,可以基于具体情况分步骤或者同时进行相关建设。关键词:信息安全;体系建设;方案中图分类号:TP309.2文献标识码:A文章编号:1009-3044(2008)36-2846-02TheImplementationProgramofanInformationSecuritySystemforanEnterpriseGUOYong,CHENRong-sheng,ZHANGui-bao,ZENGZhong-cheng,LUTeng-zu,LIZhuang-xiang(FujianXindongNetworkTechnologyCo.,Ltd.Fuzhou350003,China)Abstract:Inviewoftheenterpriseinformationtechnologybecomingmore,theissueofbusinessinformationsecurityhasbecomeanimportantfactorinlife,anenterpriseinformationsecuritysystemfortheimplementationoftheprogram.Fromtheorganization,management,constructionandtechnicalaspectsontheconstructionofthethree.Inthespecificimplementationprocess,basedonthespecificcircumstancesatthesametimeorstep-by-stepbuilding-related.Keywords:informationsecurity;systemconstruction;program1引言信息安全的体系建设就是让企业建立安全的组织架构,同时建立一套管理规范来规范成员的行为,并建立起安全的平台为企业提供安全支撑同时为企业创造效益。本文根据一些企业现在实际情况,针对其信息安全现状提出总体的实施步骤。企业在具体的实施过程中可参照这些步骤考虑实施。下文将根据组织建设、管理建设和技术建设三个方面展开阐述。同时,在对技术建设阐述时,将从基础设施建设和系统建设两个方面分开阐述。2信息安全体系建设总体步骤龙源期刊网所示,具体包括:组织建设、团队建设、管理规范、基础环境、资产定级和评估、支撑系统和服务运维。以上组成部分都可归结为组织建设、管理建设和技术建设三个方面。图1信息安全体系建设步骤实施步骤中有的步骤是可以同时进行的,如图2所示。但有相对的优先级,优先级高的环节相应的应该放在优先考虑的位置。有些环节鉴于完成的周期较长,建议可以同步进行,避免信息安全实施周期过长,影响企业的目标达成。3组织建设信息安全体系建设要做好,组织建设是关键。组织建设是所有其它建设的前提。而组织建设的第一步就是做好组织调整。组织调整就是把信息安全运营管理分为两个部门,一个是生产部门,一个是管理部门。3.1信息安全管理部门信息安全管理部门有权对其它部门进行安全考核,同时信息安全生产部门是由信息安全的管理部门直接管理指挥的。信息安全管理部門的职责决定其管理部门对企业信息安全有着全局的管控能力,负责信息安全全局任务下达和监督,安全战略目标的建议以及政府、公安、司法等安全外联。3.2信息安全生产部门信息安全生产的部门,其信息安全生产内容包括三个部分,对内是企业信息安全的支撑、对外提供企业信息安全服务和公众信息安全服务,接受安全管理部门的领导的管理和考核,和其他生产部门属平级关系。4管理建设4.1管理制度颁布对于管理制度,必须对管理规范和流程进行规范定义,在管理制定颁布之前应该作以下的事情:由安全管理部门牵头召开各个部门参与的管理制定内容研究讨论会,收集各方建议;根据各个建议对管理制度进行修订;修订后管理制度,再次召集各个部门讨论并基本通过;安全龙源期刊网管理部门颁布管理制度并确定管理制度的实施的开始时间;在制度实施开始时间之前,进行制度宣灌,组织各个部门参加学习,并进行相关学习的考试;管理制度开始实施。4.2管理制度落实信息安全管理制度落实是由信息安全管理部门的管控部执行的,管控部包括考核、质检、审计三个小组共同组成,考核各个部门管理制度的落实情况。如何对各个部门的信息安全情况进行考核呢?不同时期有不同的做法,分为两个阶段:一是SOC(信息安全运维中心)建设阶段。SOC建设阶段由于安全生产组织和安全支撑系统还不够健全,对安全的支撑十分有限,因此这个阶段的质检、审计、考核多以手工为主,信息安全审计和信息安全质检以部门抽样检查为主,无法做到全面的普查。信息安全质检组定期进行各个部门的信息安全检查,主要工作是定期的信息安全巡检工作。信息安全审计组对各个部门的工作日志进行定期的审计工作,特别是出现信息安全事件后的审计工作。信息安全生产部门配合管理部门进行信息安全质检工作和审计工作,同时信息安全生产部门承担着SOC支撑系统建设的需求分析、项目监督、系统验收等工作。二是SOC运维阶段。SOC运维阶段,由于各个信息安全支撑系统已经较为完备,而且人员组织逐渐成熟,对信息安全的管控能力将实现一个质的飞越,信息安全质检组可随时对考核部门进行信息安全巡检,巡检可采用面向全网的信息安全自动巡检,全面系统的分析全网的安全状况,信息安全审计可分手工和自动相结合的方式进行审计,根据不同的业务应用、访问控制等进行审计分析,快速高效的进行审计。信息安全管控从抽样管理到全面管理,从静态管理到动态管理,从事后响应到事前预防。5基础设施建设及相关建设信息安全基础设施建设的目的主要是实现对现有生产网资源的集中和优化,提高系统运行效率,并同时进行局部的信息安全加固和改进,使得在信息安全支持系统尚未建成时,使现有生产网系统的信息安全性和可用性提高到一个新的水准。其内容主要包括结构调整、优化整合和安全集成。结构调整主要是对信息安全体系存在重大影响的网络基础架构的调整;优化整合是对信息安全可用性和保密性的关键因素进行改进,如操作通道的加密;安全集成是根据企业信息安全需要综合分析后,得出在现有生产网上所要建设和购置的信息安全系统及产品。此外,在经过资产的等级划分之后,并进行的相关信息资产的优化整合后,全网中大量的信息安全问题和隐患将被排除,但是还会有许多的薄弱点,这些薄弱点是在优化整合后还没有解决的或疏忽的问题,找出这些薄弱点就需要一次系统的信息安全评估过程,把目前安全存在的问题进行分析。信息安全评估的是根据信息资产的本身的所处的网络环境和信息资产价值有直接的关系,信息安全评估的目的不是要求企业把所有的问题一概而论的解决掉,而是告诉企业有这些一些问题值得关注,至于解决的问题的要投入的人力物力是根据信息资产的本身的价值而定。龙源期刊网系统建设信息安全系统建设也即最后的信息安全体系建设的最后步骤,是具体实施的过程。在面上主要表现为依照信息安全体系建设规划方案进行采购与部署。这里的采购对象包括:产品采购类、服务产品类和研发产品类。6.1产品采购类在建设信息安全支撑和信息安全服务系统过程中会涉及到许多安全产品的采购,如防火墙、黑洞、入侵检测、安全检测工具产品、成熟的安全集成产品等等采购,因此我们将这部分不需要太多定制开发可直接购买或集成的产品定义为产品采购类。其采用的原则是:1)安全产品的本身应该具备的功能要求;2)安全产品本身应该具备的性能要求;3)安全产品本身应该具备的安全要求;4)安全产品应该具体的管理要求;5)安全产品的可扩展性要求。6.2服务产品类龙源期刊网信息安全体系建设并行建设步骤服务产品类,主要是针对对外安全服务的产品类,对外服务的产品类包括集成产品和服务内容。服务产品定义主要是根据市场运营所推出相应服务而定义。服务产品的实施原则如下:1)产品市场潜力;2)产品的产出比战略研究;3)产品相关的信息安全等级评估;4)产品相关的信息安全策略;5)产品相关的响应团队;6)产品宣传渠道和策略分析;7)产品相关的增值服务;8)产品创造价值的统计分析。6.3研发产品类龙源期刊网信息安全支撑系统和信息安全服务系统建设中,一定有一些系统需要进行定制开发,这些定制开发的產品我们定义为研发类产品。研发类产品建设原则如下:1)产品能够满足现有生产的功能要求;2)产品具有良好的可靠性和扩展性;3)产品具有一定先进性,能满足3-5年企业IT发展要求;4)产品要预留信息安全管理接口,能对系统日志进行采集和审计。7结束语文章针对在企业信息化程度越来越高的情况下,信息安全成为关乎企业生命的重要因素,提出了一种针对企业的信息安全体系建设实施方案。在具体的实施过程中,可以基于具体情况分步骤或者同时进行相关建设。此方案对于指导企业的信息安全体系建设有一定的参考意义。参考文献:[1]周学广,刘艺.信息安全学[M].北京:机械工业出版社,2003.[2]韩祖德.计算机信息安全基础教程[M].北京:人民邮电出版社,2005.[3]陆广能.浅析数字化档案信息安全问题[J].电脑知识与技术,2005,(10):30-32.[4]李娟.浅谈如何构建档案信息安全防护体系[J].河南职业技术师范学院学报,2004,(4):20-25.[5]范开菊.网络环境下档案信息安全问题探微[J].科技情报开发与经济,2005,(2):47.[6]赵屹.新技术应用与档案现代化管理[J].科技档案,2004,(1):42-45.[7]陈岩平.计算机备份与档案信息安全[J].广州档案,2002,(4):10-12.
本文标题:一种针对企业的信息安全体系建设实施方案
链接地址:https://www.777doc.com/doc-4320956 .html