信息是一个组织的血液,它的存在方式各异。可以是打印、手写,也可以是电子、演示和口述的。当今商业竞争日趋激烈,来源于不同渠道的威胁,危及信息的安全性。这些威胁可能来自内部,也可能来自外部,可能是意外的,还可能是恶意的。随着信息存储、发送新技术的广泛使用,信息安全面临的威胁也越来越严重了。
信息安全的建设过程是一个系统工程,它需要对信息系统的各个环节进行统一的综合考虑、规划和架构,并需要兼顾组织内外不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。这点可以借用管理学上的木桶原理加以说明。木桶原理是指:一个木桶由许多木板组成,如果木板的长短不一,那么木桶的最大容量取决于最短的那块木板。这个原理可适用信息安全。一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。信息从产生到销毁,其生命周期过程中包括了产生、收集、加工、交换、存储、检索、存档、销毁等多个事件,表现形式和载体会发生各种变化,这些环节中的任何一个环节都可能影响整体信息安全水平。要实现信息安全目标,一个组织必须使构成安全防范体系的这只“木桶”的所有木板都要达到一定的长度。
由于信息安全是一个多层面、多因素、综合和动态的过程,如果组织凭着一时的需要,想当然制定一些控制措施和引入某些技术产品,都难免存在挂一漏万、顾此失彼的情况,使得信息安全这只“木桶”出现若干“短板”,从而无法提高安全水平。正确的做法是遵循国内外相关信息安全标准和最佳实践的过程,考虑到组织信息安全各个层面的实际需求,在风险分析的基础上引入恰当的控制,建立合理的安全管理体系,从而保证组织赖以生存的信息资产的机密性、完整性和可用性;另一方面,这个安全体系还应当随着组织环境的变化、业务发展和信息技术提高而不断改进,不能一劳永逸,一成不变。因此,实现信息安全是一个需要完整体系来保证的持续过程。这就是组织需要信息安全管理的基本出发点。
所谓管理,是指管理主体组织并利用其各个要素(人、财、物、信息和时空),借助管理手段,完成该组织目标的过程。
(1)管理主体是一个组织,这个组织可能是国家,可以是一个单位;也可能是一个正式组织或非正式组织。
(2)管理主体包含5个方面的要素:人(决策者、执行者、监督者)、财(资金)、物(土地、生产设备及工具、物料等)、信息(管理机制、技术与方法、管理用的各种信息等)、时空(时点和持续时间、地理位置及空间范围)。(www.xing528.com)
(3)管理的手段包括5个方面:强制(战争、政权、暴力、抢夺等)、交换(双方意愿交换)、惩罚(包括物质性和非物质性的;包括强制、法律、行政、经济等方式)、激励、沟通与说服。
(4)管理的过程包括7个环节:管理规则的确定(组织运行规则,如章程及制度等)、管理资源的配置(人员配置及职责划分与确定、设备及工具、空间等资源配置与分配)、目标的设立与分解(如计划)、组织与实施、过程控制(检查、监督与协调)、效果评价、总结与处理(奖惩)。[1]
信息安全管理是组织为实现信息安全目标而进行的管理活动,是组织完整的管理体系中的一个重要组成部分,是为了保护信息资产的安全,指导和控制组织的关于信息安全风险的互相协调的活动。
信息安全管理在对组织内部和外部信息的有效管理基础上,为企业、单位和组织提供决策支持的工作。
在当今全球一体化的商业环境中,信息的重要性被广泛接受,信息系统在商业和政府组织中得到了真正的广泛应用。许多组织对信息系统的依赖性不断增长,加上在信息系统上运作业务的风险、收益和机会,使得信息安全管理成为企业管理越来越关键的一部分。管理高层需要确保信息技术适应企业战略,企业战略也恰当利用信息技术的优势。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
