一種針對企業的信息安全體系建設實施方案

摘要：針對在企業信息化程度越來越高的情況下，信息安全成為關乎企業生命的重要因素，提出了一種針對企業的信息安全體系建設實施方案。從組織建設、管理建設和技術建設三個方面進行闡述。在具體的實施過程中，可以基于具體情況分步驟或者同時進行相關建設。

關鍵詞：信息安全；體系建設；方案

中圖分類號：TP309.2文獻標識碼：A文章編號：1009-3044(2008)36-2846-02

The Implementation Program of an Information Security System for an Enterprise

GUO Yong， CHEN Rong-sheng， ZHAN Gui-bao， ZENG Zhong-cheng， LU Teng-zu， LI Zhuang-xiang

(Fujian Xindong Network Technology Co.， Ltd. Fuzhou 350003，China)

Abstract: In view of the enterprise information technology becoming more， the issue of business information security has become an important factor in life， an enterprise information security system for the implementation of the program. From the organization， management， construction and technical aspects on the construction of the three. In the specific implementation process， based on the specific circumstances at the same time or step-by-step building-related.

Key words: information security; system construction; program

1 引言

信息安全的體系建設就是讓企業建立安全的組織架構，同時建立一套管理規范來規范成員的行為，并建立起安全的平臺為企業提供安全支撐同時為企業創造效益。本文根據一些企業現在實際情況，針對其信息安全現狀提出總體的實施步驟。企業在具體的實施過程中可參照這些步驟考慮實施。

下文將根據組織建設、管理建設和技術建設三個方面展開闡述。同時，在對技術建設闡述時，將從基礎設施建設和系統建設兩個方面分開闡述。

2 信息安全體系建設總體步驟

具體的實施步驟如圖1所示，具體包括：組織建設、團隊建設、管理規范、基礎環境、資產定級和評估、支撐系統和服務運維。以上組成部分都可歸結為組織建設、管理建設和技術建設三個方面。

圖1 信息安全體系建設步驟

實施步驟中有的步驟是可以同時進行的，如圖2所示。但有相對的優先級，優先級高的環節相應的應該放在優先考慮的位置。有些環節鑒于完成的周期較長，建議可以同步進行，避免信息安全實施周期過長，影響企業的目標達成。

3 組織建設

信息安全體系建設要做好，組織建設是關鍵。組織建設是所有其它建設的前提。而組織建設的第一步就是做好組織調整。組織調整就是把信息安全運營管理分為兩個部門，一個是生產部門，一個是管理部門。

3.1 信息安全管理部門

信息安全管理部門有權對其它部門進行安全考核，同時信息安全生產部門是由信息安全的管理部門直接管理指揮的。信息安全管理部門的職責決定其管理部門對企業信息安全有著全局的管控能力，負責信息安全全局任務下達和監督，安全戰略目標的建議以及政府、公安、司法等安全外聯。

3.2 信息安全生產部門

信息安全生產的部門，其信息安全生產內容包括三個部分，對內是企業信息安全的支撐、對外提供企業信息安全服務和公眾信息安全服務，接受安全管理部門的領導的管理和考核，和其他生產部門屬平級關系。

4 管理建設

4.1 管理制度頒布

對于管理制度，必須對管理規范和流程進行規范定義，在管理制定頒布之前應該作以下的事情：由安全管理部門牽頭召開各個部門參與的管理制定內容研究討論會，收集各方建議；根據各個建議對管理制度進行修訂；修訂后管理制度，再次召集各個部門討論并基本通過；安全管理部門頒布管理制度并確定管理制度的實施的開始時間；在制度實施開始時間之前，進行制度宣灌，組織各個部門參加學習，并進行相關學習的考試；管理制度開始實施。

4.2 管理制度落實

信息安全管理制度落實是由信息安全管理部門的管控部執行的，管控部包括考核、質檢、審計三個小組共同組成，考核各個部門管理制度的落實情況。如何對各個部門的信息安全情況進行考核呢？不同時期有不同的做法，分為兩個階段：

一是SOC（信息安全運維中心）建設階段。SOC建設階段由于安全生產組織和安全支撐系統還不夠健全，對安全的支撐十分有限，因此這個階段的質檢、審計、考核多以手工為主，信息安全審計和信息安全質檢以部門抽樣檢查為主，無法做到全面的普查。信息安全質檢組定期進行各個部門的信息安全檢查，主要工作是定期的信息安全巡檢工作。信息安全審計組對各個部門的工作日志進行定期的審計工作，特別是出現信息安全事件后的審計工作。信息安全生產部門配合管理部門進行信息安全質檢工作和審計工作，同時信息安全生產部門承擔著SOC支撐系統建設的需求分析、項目監督、系統驗收等工作。

二是SOC運維階段。SOC運維階段，由于各個信息安全支撐系統已經較為完備，而且人員組織逐漸成熟，對信息安全的管控能力將實現一個質的飛越，信息安全質檢組可隨時對考核部門進行信息安全巡檢，巡檢可采用面向全網的信息安全自動巡檢，全面系統的分析全網的安全狀況，信息安全審計可分手工和自動相結合的方式進行審計，根據不同的業務應用、訪問控制等進行審計分析，快速高效的進行審計。信息安全管控從抽樣管理到全面管理，從靜態管理到動態管理，從事后響應到事前預防。

5 基礎設施建設及相關建設

信息安全基礎設施建設的目的主要是實現對現有生產網資源的集中和優化，提高系統運行效率，并同時進行局部的信息安全加固和改進，使得在信息安全支持系統尚未建成時，使現有生產網系統的信息安全性和可用性提高到一個新的水準。其內容主要包括結構調整、優化整合和安全集成。結構調整主要是對信息安全體系存在重大影響的網絡基礎架構的調整；優化整合是對信息安全可用性和保密性的關鍵因素進行改進，如操作通道的加密；安全集成是根據企業信息安全需要綜合分析后，得出在現有生產網上所要建設和購置的信息安全系統及產品。

此外，在經過資產的等級劃分之后，并進行的相關信息資產的優化整合后，全網中大量的信息安全問題和隱患將被排除，但是還會有許多的薄弱點，這些薄弱點是在優化整合后還沒有解決的或疏忽的問題，找出這些薄弱點就需要一次系統的信息安全評估過程，把目前安全存在的問題進行分析。信息安全評估的是根據信息資產的本身的所處的網絡環境和信息資產價值有直接的關系，信息安全評估的目的不是要求企業把所有的問題一概而論的解決掉，而是告訴企業有這些一些問題值得關注，至于解決的問題的要投入的人力物力是根據信息資產的本身的價值而定。

6 系統建設

信息安全系統建設也即最后的信息安全體系建設的最后步驟，是具體實施的過程。在面上主要表現為依照信息安全體系建設規劃方案進行采購與部署。這里的采購對象包括：產品采購類、服務產品類和研發產品類。

6.1 產品采購類

在建設信息安全支撐和信息安全服務系統過程中會涉及到許多安全產品的采購，如防火墻、黑洞、入侵檢測、安全檢測工具產品、成熟的安全集成產品等等采購，因此我們將這部分不需要太多定制開發可直接購買或集成的產品定義為產品采購類。其采用的原則是：

1）安全產品的本身應該具備的功能要求；2）安全產品本身應該具備的性能要求；3）安全產品本身應該具備的安全要求；4）安全產品應該具體的管理要求；5）安全產品的可擴展性要求。

6.2 服務產品類

圖2 信息安全體系建設并行建設步驟

服務產品類，主要是針對對外安全服務的產品類，對外服務的產品類包括集成產品和服務內容。服務產品定義主要是根據市場運營所推出相應服務而定義。服務產品的實施原則如下：

1）產品市場潛力；2）產品的產出比戰略研究；3）產品相關的信息安全等級評估；4）產品相關的信息安全策略；5）產品相關的響應團隊；6）產品宣傳渠道和策略分析；7）產品相關的增值服務；8）產品創造價值的統計分析。

6.3 研發產品類

信息安全支撐系統和信息安全服務系統建設中，一定有一些系統需要進行定制開發，這些定制開發的產品我們定義為研發類產品。研發類產品建設原則如下：

1）產品能夠滿足現有生產的功能要求；2）產品具有良好的可靠性和擴展性；3）產品具有一定先進性，能滿足3－5年企業IT發展要求；4）產品要預留信息安全管理接口，能對系統日志進行采集和審計。

7 結束語

文章針對在企業信息化程度越來越高的情況下，信息安全成為關乎企業生命的重要因素，提出了一種針對企業的信息安全體系建設實施方案。在具體的實施過程中，可以基于具體情況分步驟或者同時進行相關建設。此方案對于指導企業的信息安全體系建設有一定的參考意義。

參考文獻：

[1] 周學廣，劉藝. 信息安全學[M]. 北京: 機械工業出版社，2003.

[2] 韓祖德. 計算機信息安全基礎教程[M]. 北京: 人民郵電出版社， 2005.

[3] 陸廣能. 淺析數字化檔案信息安全問題[J]. 電腦知識與技術， 2005， (10):30-32.

[4] 李娟. 淺談如何構建檔案信息安全防護體系[J].河南職業技術師范學院學報， 2004， (4):20-25.

[5] 范開菊. 網絡環境下檔案信息安全問題探微[J]. 科技情報開發與經濟， 2005， (2):47.

[6] 趙屹. 新技術應用與檔案現代化管理[J]. 科技檔案，2004， (1):42-45.

[7] 陳巖平. 計算機備份與檔案信息安全[J]. 廣州檔案，2002， (4):10-12.