建設(shè)工作要做好 安全體系很重要

在前面的文章中，我們了解了信息安全策略的重要性以及如何做好信息安全策略，本文我們介紹信息安全建設(shè)過程中另外一項(xiàng)重要工作——三大體系：組織管控體系、技術(shù)管控體系和運(yùn)營管控體系。

山東省軟件評測中心根據(jù)多年信息安全建設(shè)經(jīng)驗(yàn)，簡單總結(jié)以上三大體系，希望能給大家?guī)韼椭?/span>下圖為信息安全體系框架總體結(jié)構(gòu)圖。

信息安全體系框架總體結(jié)構(gòu)

從上圖可以看出，信息安全體系主要是由安全技術(shù)體系、安全組織與管理體系以及運(yùn)行保障體系三部分共同構(gòu)成的。

在前面的文章中我們了解到，安全策略是指導(dǎo)。安全策略與安全技術(shù)體系、安全組織和管理體系以及運(yùn)行保障體系這三大體系之間的關(guān)系也是相互作用的。三大體系是在安全策略的指導(dǎo)下構(gòu)建的，主要是要將安全策略中制定的各個要素轉(zhuǎn)化成為可行的技術(shù)實(shí)現(xiàn)方法和管理、運(yùn)行保障手段，全面實(shí)現(xiàn)安全策略中所制定的目標(biāo)。

（一）組織管控體系

組織管控體系是安全技術(shù)體系真正有效發(fā)揮保護(hù)作用的重要保障，組織管控體系的設(shè)計(jì)立足于總體安全策略，并與安全技術(shù)體系相互配合，增強(qiáng)技術(shù)防護(hù)體系的效率和效果，同時也彌補(bǔ)當(dāng)前技術(shù)無法完全解決的安全缺陷。

技術(shù)和管理是相互結(jié)合的，一方面，安全防護(hù)技術(shù)措施需要安全管理措施來加強(qiáng)，另一方面技術(shù)也是對管理措施貫徹執(zhí)行的監(jiān)督手段。

組織管控體系由若干信息安全管理類組成，每項(xiàng)信息安全管理類可分解為多個安全目標(biāo)和安全控制。每個安全目標(biāo)都有若干安全控制與其相對應(yīng)，這些安全控制是為了達(dá)成相應(yīng)安全目標(biāo)的管理工作和要求。信息安全管理體系一共包括了12項(xiàng)管理類：安全策略與制度、安全風(fēng)險管理、人員和組織安全管理、環(huán)境和設(shè)備安全管理、網(wǎng)絡(luò)和通信安全管理、主機(jī)和系統(tǒng)安全管理、應(yīng)用和業(yè)務(wù)安全管理、數(shù)據(jù)安全和加密管理、項(xiàng)目工程安全管理、運(yùn)行和維護(hù)安全管理、業(yè)務(wù)連續(xù)性管理管理、合規(guī)性（符合性）管理。

（二）技術(shù)管控體系

技術(shù)管控體系是整個信息安全體系框架的基礎(chǔ)，包括了安全基礎(chǔ)設(shè)施平臺、安全應(yīng)用系統(tǒng)平臺和安全綜合管理平臺這三個部分，以統(tǒng)一的信息安全基礎(chǔ)設(shè)施平臺為支撐，以統(tǒng)一的安全系統(tǒng)應(yīng)用平臺為輔助，在統(tǒng)一的綜合安全管理平臺管理下的技術(shù)保障體系框架。

安全基礎(chǔ)設(shè)施平臺是以安全策略為指導(dǎo)，從物理和通信安全防護(hù)、網(wǎng)絡(luò)安全防護(hù)、主機(jī)系統(tǒng)安全防護(hù)、應(yīng)用安全防護(hù)等多個層次出發(fā)，立足于現(xiàn)有的成熟安全技術(shù)和安全機(jī)制，建立起的一個各個部分相互協(xié)同的完整的安全技術(shù)防護(hù)體系。

安全應(yīng)用系統(tǒng)平臺處理安全基礎(chǔ)設(shè)施與應(yīng)用信息系統(tǒng)之間的關(guān)聯(lián)和集成問題，應(yīng)用信息系統(tǒng)通過使用安全基礎(chǔ)設(shè)施平臺所提供的各類安全服務(wù)，提升自身的安全等級，以更加安全的方式，提供業(yè)務(wù)服務(wù)和內(nèi)部信息管理服務(wù)。

安全綜合管理平臺的管理范圍盡可能地涵蓋安全技術(shù)體系中涉及的各種安全機(jī)制與安全設(shè)備，對這些安全機(jī)制和安全設(shè)備進(jìn)行統(tǒng)一的管理和控制，負(fù)責(zé)管理和維護(hù)安全策略，配置管理相應(yīng)的安全機(jī)制，確保這些安全技術(shù)與設(shè)施能夠按照設(shè)計(jì)的要求協(xié)同運(yùn)作，可靠運(yùn)行。它在傳統(tǒng)的信息系統(tǒng)應(yīng)用體系與各類安全技術(shù)、安全產(chǎn)品、安全防御措施等安全手段之間搭起橋梁，使得各類安全手段能與現(xiàn)有的信息系統(tǒng)應(yīng)用體系緊密的結(jié)合實(shí)現(xiàn)無縫連接，促成信息系統(tǒng)安全與信息系統(tǒng)應(yīng)用的真正的一體化，使得傳統(tǒng)的信息系統(tǒng)應(yīng)用體系逐步過渡到安全的信息系統(tǒng)應(yīng)用體系。

統(tǒng)一的安全管理平臺有助于各種安全管理技術(shù)手段的相互補(bǔ)充和有效發(fā)揮，也便于從系統(tǒng)整體的角度來進(jìn)行安全的監(jiān)控和管理，從而提高安全管理工作的效率，使人為的安全管理活動參與量大幅下降。

技術(shù)和管理是相互結(jié)合的，一方面，安全防護(hù)技術(shù)措施需要安全管理措施來加強(qiáng)，另一方面技術(shù)也是對管理措施貫徹執(zhí)行的監(jiān)督手段。

（三）運(yùn)營管控體系

運(yùn)營管控體系由安全技術(shù)和安全管理緊密結(jié)合的內(nèi)容所組成，包括了系統(tǒng)可靠性設(shè)計(jì)、系統(tǒng)數(shù)據(jù)的備份計(jì)劃、安全事件的應(yīng)急響應(yīng)計(jì)劃、安全審計(jì)、災(zāi)難恢復(fù)計(jì)劃等，運(yùn)行保障體系對于組織信息化的可持續(xù)性運(yùn)營提供了重要的保障手段。