信息是一家機構(gòu)的資產(chǎn)��,與其它資產(chǎn)一樣����,應(yīng)受到保護����。信息安全的作用是保護信息不受大范圍威脅所干擾,使機構(gòu)業(yè)務(wù)能夠暢順��,減少損失及提供最大的投資回報和商機����。信息可以有多種存在方式,可以寫在紙上��、儲存在電子文檔里�����,也可以用郵遞或電子手段發(fā)送����,可以在電影上放映或者說話中提到���。無論信息以何種方式表示、共享和存儲���,都應(yīng)當(dāng)適當(dāng)?shù)乇Wo起來�����。
信息及其支持進(jìn)程��、系統(tǒng)和網(wǎng)絡(luò)是機構(gòu)的重要資產(chǎn)����。信息的保密性���、完整性和可用性對機構(gòu)保持競爭能力�、現(xiàn)金流�����、利潤�、守法及商業(yè)形象至關(guān)重要。但機構(gòu)及其信息系統(tǒng)和網(wǎng)絡(luò)也越來越要面對來自四面八方的威脅,如計算機輔助的詐騙����、間諜��、破壞����、火災(zāi)及水災(zāi)等。損失的來源如計算機病毒���、計算機黑客及拒絕服務(wù)攻擊等手段變得更普遍����、大膽和復(fù)雜���。 很多信息系統(tǒng)沒有設(shè)計得很安全�����。利用技術(shù)手段獲得的安全是受限制的�����,因而還應(yīng)該得到相應(yīng)管理和程序的支持���。選擇使用那些安全控制需要事前小心周密計劃和對細(xì)節(jié)的關(guān)注�。信息安全管理至少需要機構(gòu)全體員工的參與��,同時也應(yīng)讓供應(yīng)商����、客戶或股東參與,如果有必要�,可以向外界尋求專家的建議。對信息安全的控制如果融合到需求分析和系統(tǒng)設(shè)計階段��,則效果會更好�����,成本也更便宜�����。
完整的企業(yè)信息系統(tǒng)安全管理體系首先要建立完善的組織體系���,完成制定并發(fā)布信息安全管理規(guī)范和建立信息安全管理組織等工作��,保障信息安全措施的落實以及信息安全體系自身的不斷完善����。并建立一套信息安全規(guī)范,詳細(xì)說明各種信息安全策略�����。一個詳細(xì)的信息安全規(guī)劃可以減輕對于人的因素帶來的信息安全問題�。
企業(yè)應(yīng)當(dāng)制定企業(yè)人員信息安全行為規(guī)范��,必須有專門管理人才����,才能有效地實現(xiàn)企業(yè)安全、可靠���、穩(wěn)定運行����,保證企業(yè)信息安全��。教育培訓(xùn)是培訓(xùn)信息安全人才的重要手段��,企業(yè)可以對所有相關(guān)人員進(jìn)行經(jīng)常性的安全培訓(xùn),強化技術(shù)人員對信息安全的重視����,提升使用人員的安全觀念,有針對性的開展安全意識宣傳教育����,逐步提高員工的安全意識,強調(diào)人的作用��,使他們明確企業(yè)各級組織和人員的安全權(quán)限和責(zé)任��,使他們的行為符合整個安全策略的要求���。
..
|
