信息是一家機(jī)構(gòu)的資產(chǎn)��,與其它資產(chǎn)一樣�,應(yīng)受到保護(hù)��。信息安全的作用是保護(hù)信息不受大范圍威脅所干擾���,使機(jī)構(gòu)業(yè)務(wù)能夠暢順�,減少損失及提供最大的投資回報(bào)和商機(jī)���。信息可以有多種存在方式��,可以寫在紙上����、儲(chǔ)存在電子文檔里,也可以用郵遞或電子手段發(fā)送�����,可以在電影上放映或者說(shuō)話中提到���。無(wú)論信息以何種方式表示�����、共享和存儲(chǔ),都應(yīng)當(dāng)適當(dāng)?shù)乇Wo(hù)起來(lái)��。
信息及其支持進(jìn)程��、系統(tǒng)和網(wǎng)絡(luò)是機(jī)構(gòu)的重要資產(chǎn)����。信息的保密性�、完整性和可用性對(duì)機(jī)構(gòu)保持競(jìng)爭(zhēng)能力�����、現(xiàn)金流��、利潤(rùn)��、守法及商業(yè)形象至關(guān)重要����。但機(jī)構(gòu)及其信息系統(tǒng)和網(wǎng)絡(luò)也越來(lái)越要面對(duì)來(lái)自四面八方的威脅,如計(jì)算機(jī)輔助的詐騙��、間諜����、破壞、火災(zāi)及水災(zāi)等����。損失的來(lái)源如計(jì)算機(jī)病毒、計(jì)算機(jī)黑客及拒絕服務(wù)攻擊等手段變得更普遍�、大膽和復(fù)雜。 很多信息系統(tǒng)沒有設(shè)計(jì)得很安全。利用技術(shù)手段獲得的安全是受限制的����,因而還應(yīng)該得到相應(yīng)管理和程序的支持。選擇使用那些安全控制需要事前小心周密計(jì)劃和對(duì)細(xì)節(jié)的關(guān)注���。信息安全管理至少需要機(jī)構(gòu)全體員工的參與���,同時(shí)也應(yīng)讓供應(yīng)商、客戶或股東參與����,如果有必要,可以向外界尋求專家的建議����。對(duì)信息安全的控制如果融合到需求分析和系統(tǒng)設(shè)計(jì)階段,則效果會(huì)更好��,成本也更便宜��。
完整的企業(yè)信息系統(tǒng)安全管理體系首先要建立完善的組織體系�����,完成制定并發(fā)布信息安全管理規(guī)范和建立信息安全管理組織等工作����,保障信息安全措施的落實(shí)以及信息安全體系自身的不斷完善。并建立一套信息安全規(guī)范�����,詳細(xì)說(shuō)明各種信息安全策略��。一個(gè)詳細(xì)的信息安全規(guī)劃可以減輕對(duì)于人的因素帶來(lái)的信息安全問(wèn)題���。
企業(yè)應(yīng)當(dāng)制定企業(yè)人員信息安全行為規(guī)范��,必須有專門管理人才��,才能有效地實(shí)現(xiàn)企業(yè)安全��、可靠�、穩(wěn)定運(yùn)行��,保證企業(yè)信息安全�。教育培訓(xùn)是培訓(xùn)信息安全人才的重要手段,企業(yè)可以對(duì)所有相關(guān)人員進(jìn)行經(jīng)常性的安全培訓(xùn)�����,強(qiáng)化技術(shù)人員對(duì)信息安全的重視,提升使用人員的安全觀念��,有針對(duì)性的開展安全意識(shí)宣傳教育�,逐步提高員工的安全意識(shí),強(qiáng)調(diào)人的作用��,使他們明確企業(yè)各級(jí)組織和人員的安全權(quán)限和責(zé)任��,使他們的行為符合整個(gè)安全策略的要求����。
|
