信息安全思想篇之信息安全規(guī)劃要有全局性

上一篇文章我們了解了信息安全規(guī)劃的重要作用，本文主要講述信息安全規(guī)劃需要全局性考慮的幾個(gè)方面。

一、信息安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃

信息化戰(zhàn)略規(guī)劃是以整個(gè)組織的發(fā)展目標(biāo)、發(fā)展戰(zhàn)略和組織各部門(mén)的業(yè)務(wù)需求為基礎(chǔ)，結(jié)合行業(yè)信息化方面的需求分析、環(huán)境分析和對(duì)信息技術(shù)發(fā)展趨勢(shì)的掌握，定義出組織信息化建設(shè)的遠(yuǎn)景、使命、目標(biāo)和戰(zhàn)略，規(guī)劃出組織信息化建設(shè)的未來(lái)架構(gòu)，為信息化建設(shè)的實(shí)施提供一副完整的藍(lán)圖，全面系統(tǒng)地指導(dǎo)組織信息化建設(shè)的進(jìn)程。信息安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃，對(duì)信息化戰(zhàn)略的實(shí)施起到保駕護(hù)航的作用。信息安全規(guī)劃的目標(biāo)應(yīng)該與組織信息化的目標(biāo)是一致的，而且應(yīng)該比組織信息化的目標(biāo)更具體明確、更貼近安全。信息安全規(guī)劃的一切論述都要圍繞著這個(gè)目標(biāo)展開(kāi)和部署。

二、信息安全規(guī)劃需要圍繞技術(shù)安全、管理安全、組織安全考慮

信息安全規(guī)劃的方法可以不同、側(cè)重點(diǎn)可以不同，但是需要圍繞技術(shù)安全、組織和管理安全、運(yùn)維安全進(jìn)行全面的考慮。規(guī)劃的內(nèi)容基本上應(yīng)該涵蓋有：確定信息安全的任務(wù)、目標(biāo)、戰(zhàn)略以及戰(zhàn)略部門(mén)和戰(zhàn)略人員，并在此基礎(chǔ)上制定出物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、運(yùn)維安全、人員安全的信息安全總體規(guī)劃。物理安全包括環(huán)境設(shè)備安全、信息設(shè)備安全、網(wǎng)絡(luò)設(shè)備安全、信息資產(chǎn)設(shè)備的物理分布安全等。網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全、網(wǎng)絡(luò)訪問(wèn)安全等。系統(tǒng)安全包括操作系統(tǒng)安全、應(yīng)用軟件安全、應(yīng)用策略安全等。運(yùn)維安全應(yīng)在控制層面和管理層面保障，包括備份與恢復(fù)系統(tǒng)安全、漏洞檢查及系統(tǒng)補(bǔ)丁功能、口令管理等。人員安全包括安全管理的組織機(jī)構(gòu)、人員安全教育與意識(shí)機(jī)制、人員招聘及離職管理、第三方人員安全管理等。

三、信息安全規(guī)劃的影響力在信息系統(tǒng)與信息資源

信息安全規(guī)劃的最終效果應(yīng)該體現(xiàn)在對(duì)信息系統(tǒng)與信息資源的安全保護(hù)上，因此規(guī)劃工作需要圍繞著信息系統(tǒng)與信息資源的開(kāi)發(fā)、利用和保護(hù)工作進(jìn)行，包括藍(lán)圖、現(xiàn)狀、需求、措施四個(gè)方面。首先，對(duì)信息系統(tǒng)與信息資源的規(guī)劃需要從信息化建設(shè)的藍(lán)圖入手，明確組織信息化發(fā)展策略的總體目標(biāo)和各階段的實(shí)施目標(biāo)，制定出信息安全的發(fā)展目標(biāo)；第二，對(duì)組織的信息化工作現(xiàn)狀進(jìn)行整體的、綜合、全面的分析，找出過(guò)去工作中的優(yōu)勢(shì)與不足；第三，根據(jù)信息化建設(shè)的目標(biāo)提出未來(lái)幾年的需求，這個(gè)需求最好可以分解成若干個(gè)小的方面，以便于今后的落實(shí)與實(shí)施；第四，要將實(shí)施工作階段的具體措施與辦法文檔化，提高規(guī)劃工作的執(zhí)行力度。

信息安全規(guī)劃服務(wù)于企業(yè)信息化戰(zhàn)略目標(biāo)，信息安全規(guī)劃做得好，組織信息化工作的實(shí)現(xiàn)就有了保障。信息安全規(guī)劃是組織信息化發(fā)展戰(zhàn)略的基礎(chǔ)性工作，不是可有可無(wú)而是非常重要。由于組織信息化的任務(wù)與目標(biāo)不同，所以信息安全規(guī)劃包括的內(nèi)容就不同，建設(shè)的規(guī)模就有很大的差異，因此信息安全規(guī)劃無(wú)法從專(zhuān)業(yè)書(shū)籍或研究資料中找到非常有針對(duì)性的幫助，也不可能給出一個(gè)規(guī)范化的信息安全規(guī)劃的模板。在這里提出信息安全規(guī)劃框架與方法，給出了信息安全規(guī)劃工作的一種建設(shè)原則、建設(shè)內(nèi)容、建設(shè)思路，具體規(guī)劃還需要深入細(xì)致地進(jìn)行本地化的調(diào)查與研究。

以上是山東省軟件評(píng)測(cè)中心多年的工作總結(jié)，希望能給大家?guī)?lái)幫助，不足之處還望指正。