刘树生
摘 要
随着信息技术应用的日渐广泛化,信息安全的受关注程度不断提升,信息安全综合治理也逐渐成为各界关注的焦点。基于此,本文将围绕信息安全管理开展综合分析,并深入探讨管理与技术相结合的信息安全综合治理路径,希望研究内容能够为各类企业单位的信息安全水平提升带来一定帮助。
关键词
信息安全;信息技术;信息管理
中图分类号: G270.7文献标识码: A
DOI:10.19694/j.cnki.issn2095-2457.2020.03.070
0 前言
对于各类企业单位来说,信息安全风险可细分为生产安全风险与信息安全风险,这类风险的源头为信息技术与产品的应用。进一步分析可以发现,企业单位很容易在管理与技术方面出现信息安全问题,问题的针对性处理正是本文研究的关键所在。
1 信息安全管理的综合分析
1.1 信息安全管理问题分析
企业单位很容易出現轻管理、重技术的问题,信息安全管理的有效性将受到较为负面影响。信息技术现阶段在我国各领域均有着较为广泛的应用并发挥着巨大作用,很多人因此产生了技术万能的错觉,认为单凭信息安全技术便可以满足信息安全需要的情况也较为常见。在轻管理、重技术的影响下,管理的作用往往被忽视,很多企业单位因此出现安全管理措施不科学、落实不到位问题。考虑到信息安全风险无法完全消除,企业单位必须同时重视信息安全管理与信息安全技术,保证二者能够真正配合,发挥相辅相成作用,进一步降低信息安全风险的发生概率[1]。
1.2 信息安全中管理与技术的基本应用
信息安全问题可细分为管理和技术两个方面,管理方面问题包括信息安全的治理、业务连续性管理、内外部审计、外包管理、基于信息系统的管理,技术方面的问题则包括数据备份、网络环境、机房环境、灾备体系建设、敏感信息处理、信息安全保密、密码策略、信息访问控制、身份认证等。在具体的信息安全管理工作中,企业单位可建立风险管理体系,设立信息安全管理部门,制定信息安全规范与制度,各部门还需要从内控管理、稽核检查、风险管理等不同角度管理、检查各类信息安全风险,保证信息安全工作的有效性、合规性、可控性;而在信息安全技术的基本应用中,企业单位可围绕安全传输、DMZ区、防火墙、实时监控等技术建立网络安全体系,基于数字证书、动态口令的统一安全认证平台建设也需要得到重视,基于自身实际要求和技术问题的专题研究和攻关也能够为信息安全问题提供差异化的解决方案,有效降低信息安全问题对企业单位发展带来的负面影响[2]。
2 管理与技术相结合的信息安全综合治理路径
2.1 基于管理的信息安全综合治理
信息安全综合治理必须兼顾管理与技术,真正做到两手抓两手都要硬,这样综合治理的思想才能够较好服务于信息安全的保障。在具体的信息安全综合管理实践中,企业单位的风险管理、信息科技、内控管理、稽核检查等部门均需要参与其中,各部门需基于自身的视角和职责独立管理信息安全风险,有效信息安全风险可得到有效控制,各部门在互相配合协同工作的情况下还能够保证彼此的独立性,信息安全综合管理自然能够取得令人满意的成果。例如,企业单位的各管理部门可积极加强彼此间的协同与沟通,在完成各自独立工作的同时,建立联合工作组或召开联席会议,这一工作沟通需定期围绕信息安全等问题展开,信息安全管理工作的完善与改进可由此获得不同方面、不同角度的支持。信息科技部门也需要充分发挥自身作用,以此建立协同工作机制,开展定期的技术交流、工作研讨,保证企业单位的各部门均能够参与到专业人才队伍建设、信息安全工作改进工作中,信息安全管理能力与管理水平可由此不断提升。
2.2 基于技术的信息安全综合治理
考虑到近年来我国各类企业单位业务的复杂性和多样化程度不断提升,信息安全技术的应用也存在较为显著的多样化特点,企业单位需采用不同的信息安全保障手段满足不同的业务系统需要,不同信息安全手段同时也拥有多种具备不同特性的信息安全技术。在具体的信息安全技术应用中,不同类别安全手段的适用范围和针对性选用必须得到重视,企业单位需做好顶层设计,开展统一管理,以此体现信息安全技术的多样性、层次化、综合性特点,并同时保证信息安全系统建设的全面性,差异化模块与公共模块的分工同样不容忽视,以此开展综合运用,即可有效避免重复建设的问题出现。例如,企业单位需明确互联网服务系统、网络环境、自助系统等方面安全技术拥有的不同安全应用领域,不同安全应用领域的适用技术和信息安全要求也需要得到重视。在一个领域内,不同的处理环节和处理流程对适用技术、信息安全要求也存在显著差别。在信息安全系统建设上,差异化的应用安全模块、公共的安全设施的配合与差异也不容忽视。以互联网服务为例,主要涉及加密存储、加密传输、系统间互认、身份认证、操作监控等安全手段,身份认证环节也需要使用多种技术手段。因此,按照统一信息安全策略的多种技术综合使用属于基于信息安全技术的信息安全综合治理关键所在。
2.3 兼具管理与技术的信息安全综合治理
为实现管理与技术相结合的信息安全综合治理,必须重点关注信息安全工作的方法论、基本方针、实施原则,并以这类内容为指导思想,真正实现管理与技术的结合,信息科技管理也需要在这一过程中充分发挥自身作用。信息安全工作的方法论也可以被称为四个要素,包括管理、技术、实施、策略。管理指的是严格遵章守制、强化风险意识、多方综合管理,管理的落实属于其中关键;技术的主要内容包括安全可控、规范有效、前瞻性把握、多种安全手段综合运用,技术保障属于其中关键;实施需要划分不同的系统、信息安全等级要求,并落实分类安全措施,分类分级属于其中关键;策略需开展综合评估,评估对象包括可承受性、安全性、方便性、利益和代价、时间和成本等多种因素,合理可行属于其中关键;信息安全工作基本方针主要包括依法合规、综合治理、狠抓落实、安全可控。依法合规指的是严格遵循各类法律、政策、内控制度、标准规范,以此明确信息安全工作的核心、依据、抓手、基础;综合治理需做到管理与技术相辅相成,避免技术万能论的出现;狠抓落实需围绕制度建设与落实开展管理,基于体系设计与实施应用技术;安全可控需关注国产化与外购产品结合,自主研发与引进吸收结合。结合上述基本方针,综合治理理念即可在信息安全工作中得到更好体现,管理工作浪费时间、可有可无、烦琐无用等错误认知可有效避免,加强管理具备的“磨刀不误砍柴工”作用也能够受到正确认识,信息安全体系的建设效率和质量提升也能够由此获得支持;在企业单位的信息安全工作中,实施原则同样需要得到重视,具体原则包括人人担起责任、不留安全死角、落实基本方针、增强风险意识。
基于上述兼具管理与技术的信息安全综合治理路径,信息科技管理在信息安全综合治理中所发挥的作用同样不容忽视,信息科技管理需积极完成科技成果引进与转化、撰写相关材料、跟踪重点项目、检索国内外相关领域专利情报资料、统计和上报科技创新各类政策等基本工作,相关风险源的辨识与评估、安全风险应急预案及措施的制定同样需要得到重视。相关风险源的辨识与评估可围绕重要数据展开,意外断电、服务器故障、数据库损坏、网络系统大面积瘫痪等因素需得到重点关注;安全风险应急预案及措施的制定需明确响应等级,以此结合实际情况制定和启动预案,并在必要时外请专业人员,应用程序BUG的判断和上报、服务器损坏的快速处理、安全规则的优化配置同样需要得到重视。此外,人员在信息安全管理中采取的措施同样不容忽视,如针对性成立信息安全领导小组与信息安全工作组,以此开展日常的信息安全检查、重要岗位人员的政治素质审查、定期考察制度的落实,并明确系统维护员安全责任,开展针对性的第三方人员管理,配合针对性的信息安全知识与技能、政治思想教育、安全保密教育培训,管理与技术相结合的信息安全综合治理的基础即可进一步夯实。
3 结论
综上所述,管理与技术相结合的信息安全综合治理需关注多方面因素影响。在此基础上,本文涉及的信息安全综合治理原则、基于管理的信息安全综合治理、基于技术的信息安全综合治理等内容,则提供了可行性较高的信息安全综合治理路径。为更好保证企业单位的信息安全,各类新型管理方法和信息安全技术的应用必须得到重视。
参考文献
[1]刘松涛.企业信息安全治理[J].信息与电脑(理论版),2019(09):204-205.
[2]倪文静.信息安全综合治理过程[J].中国标准化,2017(18):255-256.
