淺析企業(yè)信息安全管理體系建設

   時至今日，“信息”作為一種商業(yè)資產(chǎn)，其所擁有的價值對于一個企業(yè)而言毋庸置疑，重要性也是與日俱增。信息安全，按照國際標準化組織提出的ISO/IEC 27000中的概念，需要保證信息的“保密性”、“完整性”和“可用性”。通俗地講，就是要保護信息免受來自各方面的威脅，從而確保一個企業(yè)或機構可持續(xù)發(fā)展。

　　企業(yè)面臨的問題

　　企業(yè)對于信息系統(tǒng)依賴性不斷增長，以及在信息系統(tǒng)上運作業(yè)務的風險，使得信息安全越來越得到重視。

　　然而事實上，目前企業(yè)所面對的信息安全狀況愈加復雜。病毒木馬、非法入侵、數(shù)據(jù)泄密、服務癱瘓、漏洞攻擊等安全事件時有發(fā)生。從便攜設備到可移動存儲，再到智能手機、PDA，以及無線網(wǎng)絡等，安全問題出現(xiàn)的途徑也是千奇百怪。每一項新技術，每一類新產(chǎn)品的推廣伴隨著新的問題。企業(yè)在面臨著日趨復雜的威脅的同時，遭受的攻擊次數(shù)也日益增多。

　　正因為如此，信息安全管理體系標準(ISO/IEC27000)的出現(xiàn)成為歷史必要，該標準經(jīng)過十多年的發(fā)展，已經(jīng)形成了一個完整規(guī)范的體系。對企業(yè)而言，建立信息安全管理體系，是一個非常系統(tǒng)的過程，從資產(chǎn)評估、風險分析、引入控制到后期的改進，呈現(xiàn)出一個非常邏輯的架構。

　　通過對大型企業(yè)CIO的調(diào)查顯示，他們普遍面對的問題是，“我們很清楚的知道內(nèi)部的安全風險問題，可是我們不知道怎么去識別并規(guī)避風險。因此我們迫切希望引入信息安全管理體系，甚至于去獲得認證�！�

　　可以說，信息安全管理體系的建立和健全，目的就是降低信息風險對經(jīng)營帶來的危害，并將其投資和商業(yè)利益最大化。

　　信息安全管理體系標準

　　2005年改版后的ISO/IEC 27001共有133個控制點，39個控制措施，11個控制域。其中11個控制域包括：

　　1)安全策略
　　2)信息安全的組織
　　3)資產(chǎn)管理
　　4)人力資源安全
　　5)物理和環(huán)境安全
　　6)通信和操作管理
　　7)訪問控制
　　8)系統(tǒng)采集、開發(fā)和維護
　　9)信息安全事故管理
　　10)業(yè)務連續(xù)性管理
　　11)符合性

　　可見，信息安全不僅僅是個技術問題，而是管理、章程、制度和技術手段以及各種系統(tǒng)的結合。實現(xiàn)信息安全不僅需要采用技術措施，還需要借助于技術以外的其它手段，如規(guī)范安全標準和進行信息安全管理。

　　因此，企業(yè)在選擇合作伙伴的時候，就該找那種理解需求、真正能幫助解決問題的，只有那種有著多年的咨詢和項目經(jīng)驗、豐富的服務和產(chǎn)品的公司，才夠格成為可信任的伙伴。

　　普通的顧問公司，常常就是提供咨詢、解決方案，折騰一通后，再推薦一些產(chǎn)品。而產(chǎn)品的實際效能如何，是否能有效解決問題，顧問公司并不清楚。

　　而廠商，總是會推銷一大堆產(chǎn)品給企業(yè)，而這些產(chǎn)品是否真的符合企業(yè)實際要求，成為各方爭論的焦點。這些產(chǎn)品之間，或者會有功能重疊，又或者會有沖突和兼容性問題。

　　解決方案

　　如今，一些廠商整合了豐富的知識和經(jīng)驗，提供客戶咨詢、運營、服務和產(chǎn)品等，幫助客戶成功，如國內(nèi)的冰峰網(wǎng)絡。國內(nèi)的安全廠商通過更加務實的態(tài)度，以“保障關鍵應用、提升IT價值”為理念，切實地理解客戶的需求，有效地幫助客戶解決問題。

　　參照ISO/IEC 27001，總結出了完整的信息安全模型。依據(jù)模型，企業(yè)可以得到一個細致的流程，再也不用摸黑走路。

　　通過咨詢，為客戶提供高端的信息安全咨詢與評估服務，識別出信息資產(chǎn)以及存在的風險，找出所存在的問題和深層次的需求，以便明確后續(xù)應采取什么行動去解決問題。

　　采用產(chǎn)品，記者了解到冰峰網(wǎng)絡能提供全系列的產(chǎn)品，能保護企業(yè)的任意區(qū)域，如移動用戶、遠程分支、內(nèi)部網(wǎng)絡、很難管理的桌面和服務器、個人的行為狀況等。具有完善的功能模塊，有防火墻、VPN、IPS/IDS、內(nèi)容過濾、網(wǎng)絡行為管理等。利用這些功能模塊，企業(yè)能全局有效地管理安全，并跨系統(tǒng)、平臺和區(qū)域?qū)嵤┮恢碌牟呗浴?O:P>

　　委托運營，針對一些自我管理和技術能力不強的企業(yè)，委托運營是其最佳選擇。企業(yè)不再被具體的細節(jié)拖入泥沼中，只需提出問題和希望的結果，所有的中間過程都由委托承擔者完成。

　　后續(xù)服務，安全管理的實現(xiàn)肯定是個長期的過程，那種完成項目就開溜的做法，對企業(yè)來說是種災難。只有通過后續(xù)的服務，不斷地改進，不斷地發(fā)現(xiàn)新問題，才能推動目標不斷地前進。

　　總之，我們欣喜的看到，國內(nèi)的安全廠商通過積極努力，提供的整體解決方案，可增強企業(yè)主動管理其信息安全的能力，降低企業(yè)信息所面臨的風險。

　　結語

　　建立信息安全管理體系并獲得認證，能提高企業(yè)自身的安全管理水平，將企業(yè)的安全風險控制在可接受的范圍內(nèi)，減少因安全時間帶來的破壞和損失。更重要的，是可以保證企業(yè)業(yè)務的持續(xù)性。

　　另一方面，合作在如今的商業(yè)社會是非常普遍。如果企業(yè)能向客戶及利益相關方展示對信息安全的承諾，不但能增強合作伙伴、投資方的信心，也可以向政府及行業(yè)主管部門證明對相關法律法規(guī)的符合，并能得到國際上的認可。

　　選擇一款滿足企業(yè)實際需求的產(chǎn)品，才是選擇真正的信息安全管理體系。