信息是一家機構的資產(chǎn),與其它資產(chǎn)一樣����,應受到保護。信息安全的作用是保護信息不受大范圍威脅所干擾��,使機構業(yè)務能夠暢順����,減少損失及提供最大的投資回報和商機。信息可以有多種存在方式��,可以寫在紙上�����、儲存在電子文檔里�,也可以用郵遞或電子手段發(fā)送,可以在電影上放映或者說話中提到�。無論信息以何種方式表示、共享和存儲,都應當適當?shù)乇Wo起來����。
信息及其支持進程、系統(tǒng)和網(wǎng)絡是機構的重要資產(chǎn)�。信息的保密性、完整性和可用性對機構保持競爭能力�����、現(xiàn)金流��、利潤��、守法及商業(yè)形象至關重要�。但機構及其信息系統(tǒng)和網(wǎng)絡也越來越要面對來自四面八方的威脅��,如計算機輔助的詐騙��、間諜��、破壞���、火災及水災等����。損失的來源如計算機病毒、計算機黑客及拒絕服務攻擊等手段變得更普遍��、大膽和復雜���。 很多信息系統(tǒng)沒有設計得很安全��。利用技術手段獲得的安全是受限制的��,因而還應該得到相應管理和程序的支持�����。選擇使用那些安全控制需要事前小心周密計劃和對細節(jié)的關注����。信息安全管理至少需要機構全體員工的參與�,同時也應讓供應商、客戶或股東參與���,如果有必要���,可以向外界尋求專家的建議����。對信息安全的控制如果融合到需求分析和系統(tǒng)設計階段��,則效果會更好���,成本也更便宜���。
完整的企業(yè)信息系統(tǒng)安全管理體系首先要建立完善的組織體系,完成制定并發(fā)布信息安全管理規(guī)范和建立信息安全管理組織等工作��,保障信息安全措施的落實以及信息安全體系自身的不斷完善��。并建立一套信息安全規(guī)范�,詳細說明各種信息安全策略。一個詳細的信息安全規(guī)劃可以減輕對于人的因素帶來的信息安全問題�����。
企業(yè)應當制定企業(yè)人員信息安全行為規(guī)范�,必須有專門管理人才�����,才能有效地實現(xiàn)企業(yè)安全、可靠�����、穩(wěn)定運行����,保證企業(yè)信息安全。教育培訓是培訓信息安全人才的重要手段�����,企業(yè)可以對所有相關人員進行經(jīng)常性的安全培訓�,強化技術人員對信息安全的重視,提升使用人員的安全觀念���,有針對性的開展安全意識宣傳教育��,逐步提高員工的安全意識�����,強調(diào)人的作用����,使他們明確企業(yè)各級組織和人員的安全權限和責任,使他們的行為符合整個安全策略的要求�����。
..
|
