信息安全思想篇之信息安全之保障 安全規(guī)劃不可少

前一篇文章中，我們明確了信息安全建設的目標，本文講述信息安全建設規(guī)劃的必要性，以下是山東省軟件評測中心多年經(jīng)驗總結(jié)，如有問題，歡迎拍磚。

一、概念

根據(jù)用戶需求，按照用戶網(wǎng)絡安全現(xiàn)狀進行規(guī)劃與可行性分析、產(chǎn)品選型、投資預算等信息安全建設的方案設計。

二、信息安全規(guī)劃的意義

信息安全規(guī)劃是一個涉及管理、法規(guī)和技術(shù)等多方面的綜合工程。信息安全的總體目標是物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全與安全管理的總和。信息安全的最終目的是確保組織信息的機密性、完整性和可用性，以及組織對于信息資源的控制。

信息安全規(guī)劃是以組織信息化戰(zhàn)略規(guī)劃為指導，以組織的信息資源規(guī)劃為基礎(chǔ)，全面完整地規(guī)劃信息系統(tǒng)應用和相關(guān)信息架構(gòu)，確定信息系統(tǒng)的安全框架、管理模式與建設步驟。企業(yè)在信息安全規(guī)劃的指導下建設的網(wǎng)絡與信息環(huán)境，才可以在安全機制的控制與制約下，讓各種業(yè)務解決方案、應用系統(tǒng)和數(shù)據(jù)都避免遭受負面因素帶來的威脅。信息安全規(guī)劃不應只是規(guī)劃未來幾個月，而是規(guī)劃未來幾年內(nèi)如何達到組織信息化遠景規(guī)劃指導下的安全建設目標的一個過程。信息安全規(guī)劃比單獨購買信息安全產(chǎn)品更重要，只有信息安全的整體部署有計劃、有方向、有目的、有配合，才能構(gòu)成真正意義上的信息安全。

三、 信息安全規(guī)劃的范圍

信息安全規(guī)劃是在建和已建的信息系統(tǒng)中必須要考慮的重要內(nèi)容。信息安全規(guī)劃主要是根據(jù)風險評估的結(jié)果和提取的安全需求描述實施相應的安全保障的目標、措施和步驟。按照“全網(wǎng)安全”的思想，信息安全規(guī)劃需要從管理、組織和技術(shù)等多方面進行綜合考慮，所涉及到的應該是綜合管理、技術(shù)規(guī)范、運行維護等多個層面的控制措施。

信息系統(tǒng)安全是一個動態(tài)發(fā)展的過程，過去依靠技術(shù)就可以解決大部分安全問題，但是現(xiàn)在僅僅依賴于安全產(chǎn)品的堆積來應對迅速發(fā)展變化的各種***手段是不能持續(xù)有效的。信息安全建設是一項復雜的系統(tǒng)工程，要從觀念上進行轉(zhuǎn)變，要在安全產(chǎn)品的支持下建設全方位的安全策略，使之成為一個可持續(xù)的動態(tài)發(fā)展的有安全保障的漸進過程。因此，目前在安全設備有一定規(guī)模的情況下，規(guī)范管理就成為了信息安全規(guī)劃需要關(guān)注的核心內(nèi)容，在信息安全規(guī)劃中一定要將規(guī)范管理的規(guī)劃放在首位。規(guī)范管理包括風險管理、安全策略、規(guī)章制度和安全教育，這幾個組件是信息安全規(guī)劃的重要內(nèi)容。信息安全規(guī)劃需要有規(guī)劃的依據(jù)，這個依據(jù)就是組織的信息化戰(zhàn)略規(guī)劃，同時更需要有組織與人員結(jié)構(gòu)的合理布局來保證，沒有合適的人員配合工作任何事情都是不可能完成的，因此在安全規(guī)劃中必須重視對組織結(jié)構(gòu)建立和進行人員合理調(diào)配這個關(guān)鍵環(huán)節(jié)。