《2020年信息安全管理体系建设论文精选》由会员分享,可在线阅读,更多相关《2020年信息安全管理体系建设论文精选(7页珍藏版)》请在金锄头文库上搜索。
1、信息安全管理体系建设论文精选 摘要:近年来随着行业一体化“数字烟草”构建要求提高行业的信息化建设进程全面加速信息化已融入到企业基础管理、生产制造、管理创新等诸多业务环节信息化与工业化已逐步走向深度融合之路伴随着两化融合的发展信息安全问题日益严重逐渐成为影响业务运行、制约企业发展的重要因素之一因此企业在开展信息化建设的同时必须注重信息安全保障工作然而保证企业信息安全不能单纯利用技术手段必须“技术”与“管理”并重才能保障企业信息安全笔者针对企业信息安全现状依据国家、行业相关标准阐述对企业信息安全管理体系建设的理解和看法 关键词:信息化;信息安全;安全管理 1、企业信息安全现状 近几年随着行业信息化
2、建设逐步深入伴随着OA办公自动化、ERP、卷烟生产经营决策管理和MES生产制造执行等系统相继投入使用与生产经营息息相关的关键业务对信息系统的依赖程度越来越高企业也逐步认识到信息安全的重要性企业员工的安全意识也都得到逐步提高行业也相继出台了烟草行业信息安全保障体系建设指南和各类信息安全制度并通过这几年信息安全检查工作促进企业的信息安全水平得到了进一步提高由于企业信息安全意识不断提高企业不断加大信息安全方面的投入如建立标准化的机房、购买与部署各类信息安全软件和设备等但是木马、病毒、垃圾邮件、间谍软件、恶意软件、僵尸网络等也随着计算机技术的发展不断更新攻击手段也越发隐蔽和多样化企业不仅要应对外部的攻
3、击也要应对来自于企业内部的信息安全威胁安全形势不容乐观企业的信息安全已不仅仅是技术问题还需要借助管理手段来保障企业如果不能正确树立信息风险导向意识一味注重“技术”的作用忽略“管理”的重要性就很难发挥信息安全技术的作用无法把企业的各项信息安全措施落到实处企业的信息安全也就无从谈起只有切实发挥管理作用企业的信息安全才能得到有效保障 2、企业信息安全体系架构 在谈到信息安全时大多数刚接触的人都比较疑惑都说保障信息安全十分重要那到底什么是信息安全呢下面就简单介绍一下信息安全的概念以及企业的信息安全体系架构2.1信息对企业来说信息是一种无形资产具有一定商业价值以电子、影像、话语等多种形式存在必须进行保护
4、2.2信息安全主要是指防止信息泄露、被篡改、被损坏或被非法辨识与控制避免造成不良影响或者资产损失2.3企业信息安全体系架构在保障企业信息安全过程中信息安全技术是保障信息安全的重要手段通过上文对企业信息安全现状的分析不难看出企业信息安全体系主要分为技术、管理两个重要体系进一步细分则涉及安全运维方面2.3.1信息安全技术体系作用主要是指通过部署信息安全产品合理制定安全策略实现防止信息泄露、被篡改、被损坏等安全目标信息安全产品主要是指实现信息安全的工具平台如防火墙类产品、防攻击类产品、杀毒软件类产品和密码类产品等而信息安全技术则是指实现信息安全产品的技术基础2.3.2信息安全管理体系作用完善信息安全
5、组织机构、制度细化职责分工制定执行标准确保日常管理、检查等制度有效执行最大程度发挥信息安全技术体系作用确保信息安全相关保护措施有效执行通过上文简单介绍对信息安全以及信息安全系统有了大概了解可以看出单纯借助技术或管理无法保障企业信息安全因此建立企业信息安全管理体系的重要性也就不言而喻 3、信息安全管理体系概念 3.1信息安全管理运用技术、管理手段做好信息安全工作整体规划、组织、协调与控制确保实现信息安全目标 3.2管理体系体系是指相互关联和相互作用的一组要素而管理体系则是建立方针和目标并实现这些目标的体系 3.3信息安全管理体系(ISMS)在一定组织范围内建立、完成信息安全方针和目标采取或运用方
6、法的体系作为管理活动最终结果包含方针、原则、目标、方法、过程、核查表等众多要素 3.4建立信息安全管理体系的目的作为企业总管理体系的一个子体系目的是建立、实施、运行、监视、评审、保持和改进信息安全 3.5信息安全管理体系涉及的要素 3.5.1信息安全组织机构明确职责分工确保信息安全工作组织与落实 3.5.2信息安全管理体系文件编制信息安全管理体系的方针、过程、程序和其他必需的文件等 3.5.3资源提供体系运转所需的资金、设备与人员等 4、信息安全管理体系机构设置以及作用 在建立企业的信息安全管理体系之前如果没有设置相应的信息安全组织机构那么建立体系所需要的资源(资金、人员等)就无法得到保障企业
7、的信息安全制度和策略也就无法贯彻落实企业的信息安全管理体系就形同虚设起不到任何作用因此企业在建立信息安全管理体系前必须建立健全信息安全组织机构机构设置可以根据职责分为三个层次4.1信息安全决策机构信息安全决策机构处于安全组织机构的第一个层次是本单位信息安全工作的最高管理机构应以单位主要领导负责对信息安全规划、信息安全策略和信息安全建设方案等进行审批并为企业信息安全工作提供各类必要资源4.2管理机构处于安全组织机构的第二个层次在决策机构的领导下主要负责企业日常信息安全的管理、监督以及安全教育与培训等工作此类工作大部分都由企业的信息化部门承担4.3执行机构处于信息安全组织机构的第三个层次在管理机构
8、的领导下负责保证信息安全技术体系的有效运行及日常维护通过具体技术手段落实安全策略消除安全风险以及发生安全事件后的具体响应和处理执行机构人员可以由信息中心技术人员与各部门专职或兼职信息安全员组成 5、信息安全管理体系的建立 ISO/IEC27001:标准的“建立ISMS”章节中已明确了信息安全管理体系建立的10项强制性要求和步骤企业应结合自身实际情况遵照这些内容和步骤建立自己的信息安全管理体系并形成相应的体系文件 5.1建立的步骤 (1)结合企业实际明确体系边界与范围并编制体系范围文件 (2)明确体系策略构建目标框架、风险评价的准则等形成方针文件 (3)确定风险评估方法 (4)识别信息安全风险主
9、要包括信息安全资产、责任、威胁以及造成的后果等(5)进行安全风险分析评价编制评估报告确定信息安全资产保护清单 (6)明确安全保护措施编制风险处理计划 (7)制定工作目标、措施 (8)管理者审核、批准所有残余风险 (9)经管理层授权实施和运行安全体系 (10)准备适用性声明以上步骤解释不详尽之处参看ISO/IEC27001:4.2.1章节中AJ部分 5.2信息安全管理体系涉及的文件 文件作为体系的主要元素必须与ISO/IEC27001:标准保持一致同时也要结合企业实际确保员工遵照要求严格执行而且也要符合企业的实际情况和信息安全需要在实际工作中企业员工应按照文件要求严格执行 5.2.1体系文件类型
10、主要涉及方针、程序与记录三类方针类主要是指管理体系方针与信息安全方针涵盖硬件、网络、软件、访问控制等;程序类主要是指“过程文件”涉及输入、处理与输出三个环节结果常以“记录”形式出现;记录类主要是记录程序文件结果常以是表格形式出现至于适用性声明文件企业应结合自身情况参照ISO/IEC27001:标准的附录A有选择性地作出声明并形成声明文件5.2.2体系必须具备的文件主要包括方针、风险评估、处理、文件控制、记录控制、内部审核、纠正与预防、控制措施有效性测量、管理评审与适用性声明等 5.2.3任意性文件企业可以针对自身业务、管理与信息系统等情况制定自己独有的信息方针、程序类文件 5.2.4文件的符合
11、性文件必须符合相关法律法规、ISO/IEC27001:标准以及企业实际要求保证与企业其他体系文件协调一致避免冲突同时在文字描述准确且无二义 6、体系实施与运行 主要包括策略控制措施、过程和程序涉及制定和实施风险处理计划、选择控制措施与验证有效性、安全教育培训、运行管理、资源管理以及安全事件应急处理等 7、体系的监视与评审 主要指对照策略、目标与实际运行情况监控与评审运行状态主要涉及有效性评审、控制措施测试验证、风险评估、内部审核、管理评审等环节并根据评审结果编制与完善安全计划 8、体系的保持和改进 主要是依据监视与评审结果有针对性地持续改进主要包括改进措施、制定完善措施、整改总结等同时需相关方
12、进行沟通确保达到预计改进标准 9、结语 从上文不难看出信息安全管理体系建设的四个主要环节就是建立、实施和运行、监视和评审以及保持和改进几个部分但是这不是信息安全管理体系建设的全部实际上信息安全管理体系建设最核心和最关键的部分就是把建立(P规划)、实施和运行(D实施)、监视和评审(C检查)以及保持和改进(A处置)四个重要环节形成PDCA的动态闭环的管理流程这种管理方法就是PDCA循环也称“戴明环”只有按照PDCA的顺序持续循环体系才能高效运转与不断完善信息安全管理水平才能不断提升同时信息安全管理也必须结合企业实际不断尝试与使用新的信息安全技术做到与时俱进才能符合企业实际情况和发展需要不会随着时间的推移与现实严重脱节慢慢失去作用
