安全“三分技术,七分管理”的说法在业内广为流传,由此可见体系的建立和实施是多么的重要。据悉,超过70%的信息安全威胁来自企业内部,80%的核心数据丢失是由于内部人员违规操作或管理疏忽造成的。看来我们必须讨论安全系统的实施。1、保障制度的落实有多重要?信息安全是任何国家、政府、部门、行业都高度重视的战略问题。在应对信息安全风险方面,目前流行的安全理论和标准大多侧重于系统管理和技术防范。一般认为系统管理在实际安全工程中具有较高的地位,是信息安全管理的基础。建立健全各种信息安全制度是安全管理的第一步。业内广为流传的“三分技术,七分管理”也体现了这个道理。保障企业信息安全,无论技术防范多么完善,归根结底还是要靠管理制度的完善,最终落到人的实施效果上。据网络安全专项调查显示,目前,超过70%的信息安全威胁来自企业内部,80%左右的核心数据丢失实际上是由于内部人员的违规操作或管理疏忽造成的,而只有大约20%来自外部违规。不久前,美国大兵布拉德利·曼宁通过“维基解密”网站,在美国公开了数十万份机密文件,引起了世界的广泛关注。这是一个非常典型的案例。作为一名情报分析员,曼宁可以连续8个月、每周7天、每天14小时阅读机密资料,但同时他还能够将这些机密资料下载并复制给“维基解密”创始人阿桑奇,这引起了轩然大波。不难判断,曼宁的部门肯定有相关的管理制度,但如果不能完善和落实,结果将是触目惊心的。无独有偶,在“棱镜门”事件愈演愈烈之际,身为美国国家安全局夏威夷威胁行动中心系统管理员的斯诺登,也能公然将高层情报带出美国。没有人否认美国的信息安全。技术是先进的,但与其蹩脚的管理相比,一切只能是“水中月,镜中花”。因此,在信息安全管理工作中,信息安全管理体系的完善和落实比技术防御更为关键!二、如何建立有效的安全管理制度、制度和信息安全管理制度,但这些制度通常是针对某些方面的安全问题制定的,并没有建立系统的、层次化的、能够有效制约各个主要方面的制度。网络信息安全。制度体系。缺乏系统的保障体系,对于大型企业来说,往往会导致不同部门、不同系统、不同人员之间存在一些管理上的误区和盲点,导致权威性和严肃性大打折扣。一个好的信息安全体系首先要制定目前缺乏的各级管理制度,同时完善已经制定的各级管理制度,使其从上到下对各级部门和具体应用系统具有约束力到底部。一般来说,安全体系的建立需要遵循一定的原则,由相应的部门根据体系的等级制定和监督。企业级信息安全制度由企业网络信息安全管理部门(信息中心)制定;部门级安全体系由各部门在企业安全体系的基础上,根据自身特点制定;系统级安全体系应根据具体应用系统的技术、管理和使用要求,在遵循前述两级安全体系的前提下,由系统管理机构制定实施。一个好的信息安全管理系统还必须具有很强的可操作性。目前,许多信息安全制度使用了较为全面的禁止性条款,如“任何部门和个人不得利用计算机信息系统从事危害国家利益、集体利益和公民合法权益的活动”等。计算机信息系统安全绝不能受到危害。””等等,没有具体的许可条款和详细的禁止条款。这种统一的做法往往停留在口号和原则层面,难以适应信息网络技术的发展和越来越具体的企业信息网络安全问题。在实践中,给实施工作造成很大困难。因此,企业在制定信息安全管理制度的过程中,应考虑到一些实际的突发事件和需要防范的内容,并围绕这些情况制定详细的应对措施、操作规程和管理步骤,使被管理人员能够在现实生活。工作易于跟进和实施,并能根据技术的发展和形势的变化及时调整和修订管理制度。一个好的信息安全管理体系还必须能够与技术系统相互融合、相互促进,并兼顾以人为本的原则。企业的一切管理活动都应以制度为基础。技术系统的运维应服务于管理的需要。管理制度的制定和完善还应考虑到技术系统运行的机械性和严格性特点,在技术系统运行管理中采用多变的管理制度,同时要不断提高相关管理人员、技术人员、用户和操作人员的技术素养和道德水平,使信息化管理成为可能。安全更专业、更人性化的改变。#p#3.保障体系实施的三种方法根据笔者的经验,体系的实施主要应从以下三个方面着手:一是将体系的实施作为“头等大事”来抓.由于企业负责人对信息安全工作的重视程度不够,忽视了制度的落实,企业核心竞争力的损失往往是无法弥补的。具有战略眼光的企业领导者,肯定会将信息安全作为一个战略问题来看待。解决问题的关键是保障制度的有效落实!能够有效地投射到企业的各个部门,每个人的意识都会得到真正的重视;同时,还可以有效调动信息安全管理部门的积极性和主动性,预防、控制和查处泄密。二是加大落实落实制度重要性的宣传教育。安全制度执行力度不够,主要体现在企业人员意识淡薄,防范意识不足。这种思想上的麻痹和松懈,使管理制度成为一纸空文,增加了信息安全隐患。因此,企业应合理利用各种机会,采取多种形式加强信息安全宣传教育,尤其要注意将信息安全理念融入企业文化,使员工的企业忠诚度和信息安全意识、知识、能力和能力得到提升。以道德为内涵的信息安全素养同步提升;努力加深员工与公司的关系,削弱利益诱惑的积极性;在员工中树立良好的信息安全意识,时刻牢记信息是决定企业核心竞争力的关键因素,信息安全关系到企业的生死存亡和广大员工的切身利益每个人;强化员工信息安全责任意识,时刻警惕身边隐藏的信息安全风险,随时改进系统缺陷。三是加大对制度执行情况的监督和奖惩力度。建立监督检查企业内部信息安全制度执行情况的长效机制,及时发现制度执行过程中存在的问题和风险隐患,尽快组织整改落实,确保信息安全工作有效;同时,企业各部门必须将信息安全管理体系的实施与部门考核和个人考核挂钩,实行一票否决制。对玩忽职守、安全意识淡薄,甚至故意泄露企业秘密的行为,要按照法律法规和相关制度的规定追究当事人的责任。
