管理與技術(shù)相結(jié)合的信息安全綜合治理分析

劉樹生

摘 要

隨著信息技術(shù)應(yīng)用的日漸廣泛化，信息安全的受關(guān)注程度不斷提升，信息安全綜合治理也逐漸成為各界關(guān)注的焦點。基于此，本文將圍繞信息安全管理開展綜合分析，并深入探討管理與技術(shù)相結(jié)合的信息安全綜合治理路徑，希望研究內(nèi)容能夠為各類企業(yè)單位的信息安全水平提升帶來一定幫助。

關(guān)鍵詞

信息安全;信息技術(shù);信息管理

中圖分類號： G270.7文獻(xiàn)標(biāo)識碼： A

DOI：10.19694/j.cnki.issn2095-2457.2020.03.070

0 前言

對于各類企業(yè)單位來說，信息安全風(fēng)險可細(xì)分為生產(chǎn)安全風(fēng)險與信息安全風(fēng)險，這類風(fēng)險的源頭為信息技術(shù)與產(chǎn)品的應(yīng)用。進(jìn)一步分析可以發(fā)現(xiàn)，企業(yè)單位很容易在管理與技術(shù)方面出現(xiàn)信息安全問題，問題的針對性處理正是本文研究的關(guān)鍵所在。

1 信息安全管理的綜合分析

1.1 信息安全管理問題分析

企業(yè)單位很容易出現(xiàn)輕管理、重技術(shù)的問題，信息安全管理的有效性將受到較為負(fù)面影響。信息技術(shù)現(xiàn)階段在我國各領(lǐng)域均有著較為廣泛的應(yīng)用并發(fā)揮著巨大作用，很多人因此產(chǎn)生了技術(shù)萬能的錯覺，認(rèn)為單憑信息安全技術(shù)便可以滿足信息安全需要的情況也較為常見。在輕管理、重技術(shù)的影響下，管理的作用往往被忽視，很多企業(yè)單位因此出現(xiàn)安全管理措施不科學(xué)、落實不到位問題。考慮到信息安全風(fēng)險無法完全消除，企業(yè)單位必須同時重視信息安全管理與信息安全技術(shù)，保證二者能夠真正配合，發(fā)揮相輔相成作用，進(jìn)一步降低信息安全風(fēng)險的發(fā)生概率[1]。

1.2 信息安全中管理與技術(shù)的基本應(yīng)用

信息安全問題可細(xì)分為管理和技術(shù)兩個方面，管理方面問題包括信息安全的治理、業(yè)務(wù)連續(xù)性管理、內(nèi)外部審計、外包管理、基于信息系統(tǒng)的管理，技術(shù)方面的問題則包括數(shù)據(jù)備份、網(wǎng)絡(luò)環(huán)境、機(jī)房環(huán)境、災(zāi)備體系建設(shè)、敏感信息處理、信息安全保密、密碼策略、信息訪問控制、身份認(rèn)證等。在具體的信息安全管理工作中，企業(yè)單位可建立風(fēng)險管理體系，設(shè)立信息安全管理部門，制定信息安全規(guī)范與制度，各部門還需要從內(nèi)控管理、稽核檢查、風(fēng)險管理等不同角度管理、檢查各類信息安全風(fēng)險，保證信息安全工作的有效性、合規(guī)性、可控性;而在信息安全技術(shù)的基本應(yīng)用中，企業(yè)單位可圍繞安全傳輸、DMZ區(qū)、防火墻、實時監(jiān)控等技術(shù)建立網(wǎng)絡(luò)安全體系，基于數(shù)字證書、動態(tài)口令的統(tǒng)一安全認(rèn)證平臺建設(shè)也需要得到重視，基于自身實際要求和技術(shù)問題的專題研究和攻關(guān)也能夠為信息安全問題提供差異化的解決方案，有效降低信息安全問題對企業(yè)單位發(fā)展帶來的負(fù)面影響[2]。

2 管理與技術(shù)相結(jié)合的信息安全綜合治理路徑

2.1 基于管理的信息安全綜合治理

信息安全綜合治理必須兼顧管理與技術(shù)，真正做到兩手抓兩手都要硬，這樣綜合治理的思想才能夠較好服務(wù)于信息安全的保障。在具體的信息安全綜合管理實踐中，企業(yè)單位的風(fēng)險管理、信息科技、內(nèi)控管理、稽核檢查等部門均需要參與其中，各部門需基于自身的視角和職責(zé)獨立管理信息安全風(fēng)險，有效信息安全風(fēng)險可得到有效控制，各部門在互相配合協(xié)同工作的情況下還能夠保證彼此的獨立性，信息安全綜合管理自然能夠取得令人滿意的成果。例如，企業(yè)單位的各管理部門可積極加強彼此間的協(xié)同與溝通，在完成各自獨立工作的同時，建立聯(lián)合工作組或召開聯(lián)席會議，這一工作溝通需定期圍繞信息安全等問題展開，信息安全管理工作的完善與改進(jìn)可由此獲得不同方面、不同角度的支持。信息科技部門也需要充分發(fā)揮自身作用，以此建立協(xié)同工作機(jī)制，開展定期的技術(shù)交流、工作研討，保證企業(yè)單位的各部門均能夠參與到專業(yè)人才隊伍建設(shè)、信息安全工作改進(jìn)工作中，信息安全管理能力與管理水平可由此不斷提升。

2.2 基于技術(shù)的信息安全綜合治理

考慮到近年來我國各類企業(yè)單位業(yè)務(wù)的復(fù)雜性和多樣化程度不斷提升，信息安全技術(shù)的應(yīng)用也存在較為顯著的多樣化特點，企業(yè)單位需采用不同的信息安全保障手段滿足不同的業(yè)務(wù)系統(tǒng)需要，不同信息安全手段同時也擁有多種具備不同特性的信息安全技術(shù)。在具體的信息安全技術(shù)應(yīng)用中，不同類別安全手段的適用范圍和針對性選用必須得到重視，企業(yè)單位需做好頂層設(shè)計，開展統(tǒng)一管理，以此體現(xiàn)信息安全技術(shù)的多樣性、層次化、綜合性特點，并同時保證信息安全系統(tǒng)建設(shè)的全面性，差異化模塊與公共模塊的分工同樣不容忽視，以此開展綜合運用，即可有效避免重復(fù)建設(shè)的問題出現(xiàn)。例如，企業(yè)單位需明確互聯(lián)網(wǎng)服務(wù)系統(tǒng)、網(wǎng)絡(luò)環(huán)境、自助系統(tǒng)等方面安全技術(shù)擁有的不同安全應(yīng)用領(lǐng)域，不同安全應(yīng)用領(lǐng)域的適用技術(shù)和信息安全要求也需要得到重視。在一個領(lǐng)域內(nèi)，不同的處理環(huán)節(jié)和處理流程對適用技術(shù)、信息安全要求也存在顯著差別。在信息安全系統(tǒng)建設(shè)上，差異化的應(yīng)用安全模塊、公共的安全設(shè)施的配合與差異也不容忽視。以互聯(lián)網(wǎng)服務(wù)為例，主要涉及加密存儲、加密傳輸、系統(tǒng)間互認(rèn)、身份認(rèn)證、操作監(jiān)控等安全手段，身份認(rèn)證環(huán)節(jié)也需要使用多種技術(shù)手段。因此，按照統(tǒng)一信息安全策略的多種技術(shù)綜合使用屬于基于信息安全技術(shù)的信息安全綜合治理關(guān)鍵所在。

2.3 兼具管理與技術(shù)的信息安全綜合治理

為實現(xiàn)管理與技術(shù)相結(jié)合的信息安全綜合治理，必須重點關(guān)注信息安全工作的方法論、基本方針、實施原則，并以這類內(nèi)容為指導(dǎo)思想，真正實現(xiàn)管理與技術(shù)的結(jié)合，信息科技管理也需要在這一過程中充分發(fā)揮自身作用。信息安全工作的方法論也可以被稱為四個要素，包括管理、技術(shù)、實施、策略。管理指的是嚴(yán)格遵章守制、強化風(fēng)險意識、多方綜合管理，管理的落實屬于其中關(guān)鍵;技術(shù)的主要內(nèi)容包括安全可控、規(guī)范有效、前瞻性把握、多種安全手段綜合運用，技術(shù)保障屬于其中關(guān)鍵;實施需要劃分不同的系統(tǒng)、信息安全等級要求，并落實分類安全措施，分類分級屬于其中關(guān)鍵;策略需開展綜合評估，評估對象包括可承受性、安全性、方便性、利益和代價、時間和成本等多種因素，合理可行屬于其中關(guān)鍵;信息安全工作基本方針主要包括依法合規(guī)、綜合治理、狠抓落實、安全可控。依法合規(guī)指的是嚴(yán)格遵循各類法律、政策、內(nèi)控制度、標(biāo)準(zhǔn)規(guī)范，以此明確信息安全工作的核心、依據(jù)、抓手、基礎(chǔ);綜合治理需做到管理與技術(shù)相輔相成，避免技術(shù)萬能論的出現(xiàn);狠抓落實需圍繞制度建設(shè)與落實開展管理，基于體系設(shè)計與實施應(yīng)用技術(shù);安全可控需關(guān)注國產(chǎn)化與外購產(chǎn)品結(jié)合，自主研發(fā)與引進(jìn)吸收結(jié)合。結(jié)合上述基本方針，綜合治理理念即可在信息安全工作中得到更好體現(xiàn)，管理工作浪費時間、可有可無、煩瑣無用等錯誤認(rèn)知可有效避免，加強管理具備的“磨刀不誤砍柴工”作用也能夠受到正確認(rèn)識，信息安全體系的建設(shè)效率和質(zhì)量提升也能夠由此獲得支持;在企業(yè)單位的信息安全工作中，實施原則同樣需要得到重視，具體原則包括人人擔(dān)起責(zé)任、不留安全死角、落實基本方針、增強風(fēng)險意識。

基于上述兼具管理與技術(shù)的信息安全綜合治理路徑，信息科技管理在信息安全綜合治理中所發(fā)揮的作用同樣不容忽視，信息科技管理需積極完成科技成果引進(jìn)與轉(zhuǎn)化、撰寫相關(guān)材料、跟蹤重點項目、檢索國內(nèi)外相關(guān)領(lǐng)域?qū)＠閳筚Y料、統(tǒng)計和上報科技創(chuàng)新各類政策等基本工作，相關(guān)風(fēng)險源的辨識與評估、安全風(fēng)險應(yīng)急預(yù)案及措施的制定同樣需要得到重視。相關(guān)風(fēng)險源的辨識與評估可圍繞重要數(shù)據(jù)展開，意外斷電、服務(wù)器故障、數(shù)據(jù)庫損壞、網(wǎng)絡(luò)系統(tǒng)大面積癱瘓等因素需得到重點關(guān)注;安全風(fēng)險應(yīng)急預(yù)案及措施的制定需明確響應(yīng)等級，以此結(jié)合實際情況制定和啟動預(yù)案，并在必要時外請專業(yè)人員，應(yīng)用程序BUG的判斷和上報、服務(wù)器損壞的快速處理、安全規(guī)則的優(yōu)化配置同樣需要得到重視。此外，人員在信息安全管理中采取的措施同樣不容忽視，如針對性成立信息安全領(lǐng)導(dǎo)小組與信息安全工作組，以此開展日常的信息安全檢查、重要崗位人員的政治素質(zhì)審查、定期考察制度的落實，并明確系統(tǒng)維護(hù)員安全責(zé)任，開展針對性的第三方人員管理，配合針對性的信息安全知識與技能、政治思想教育、安全保密教育培訓(xùn)，管理與技術(shù)相結(jié)合的信息安全綜合治理的基礎(chǔ)即可進(jìn)一步夯實。

3 結(jié)論

綜上所述，管理與技術(shù)相結(jié)合的信息安全綜合治理需關(guān)注多方面因素影響。在此基礎(chǔ)上，本文涉及的信息安全綜合治理原則、基于管理的信息安全綜合治理、基于技術(shù)的信息安全綜合治理等內(nèi)容，則提供了可行性較高的信息安全綜合治理路徑。為更好保證企業(yè)單位的信息安全，各類新型管理方法和信息安全技術(shù)的應(yīng)用必須得到重視。

參考文獻(xiàn)

[1]劉松濤.企業(yè)信息安全治理[J].信息與電腦（理論版），2019（09）：204-205.

[2]倪文靜.信息安全綜合治理過程[J].中國標(biāo)準(zhǔn)化，2017（18）：255-256.