信息系统安全管理架构

 

建立我院信息安全管理体系构架

 

随着我院生产技术平台完全建立在网络之上和信息化建设的逐步升级,从整体上说已经开始将自己的日常业务完全转移到电子平台上,由此导致的“网络依赖性”已经使得我院的企业级网络信息安全成为全院关注的焦点,这其中最为显著的标志,就是从去年开始陡然增多的网络黑客的恶性破坏和、尼姆达病毒侵害事件和服务器崩溃事件等。众所周知,在信息高速发展的今天,我院CAD集成应用软件和MIS管理不断采用联网技术将信息技术集成在一起。随着通过IntranetInternet的数据访问的不断增加,企业不断面临着更多的来自网络的安全威胁。这时,企业如果不能及时消除安全隐患、保护企业的设计信息以及其它敏感数据,不但会给企业带来巨大的经济损失,还会对企业的信誉造成不良的影响。可以说网络在给企业设计手段和管理方法注入活力的同时,也给网络安全保护带来了巨大挑战:如何安全的使网络连续运行,如何保护重要信息免受黑客、意外事故、竞争者和内部不满人员的破坏,如何安全快速的连接外部网络环境,生产设计管理平稳的在网络体系中进行,已经成为企业信息主管必须考虑的问题。

 

信息安全管理体系的三要素是:人、制度和技术;其中技术是基础,只有在技术有效时,制度和人才是关键,信息安全管理体系从用户的角度看更强调七分管理、三分技术,在实际运行中三要素就象一个三角支架,三条腿一样长,系统才能保持平衡

 

发达国家经过多年的研究,已形成完善的信息安全管理方法,并用可以普遍采用的标准形式表达出来,即: British Standard 7799信息安全管理体系(ISO/IEC 17799指出的安全管理的内容:信息安全政策、信息安全组织、信息资产分类与管理、个人信息安全、物理和环境安全、通信和操作安全管理、存取控制、信息系统的开发和维护、持续运营管理等等。面对如此庞大的管理技术体系,企业如何有效地建立自己的信息安全管理体系,从而真正达到信息安全的基本目标呢?从信息安全管理三要素看:计算机网络与信息安全=信息安全技术+信息安全管理体系(技术++制度)。在技术层面和管理层面的良好配合,是组织实现网络与信息安全系统的有效途径。其中,信息安全技术通过采用包括建设安全的主机系统和安全的网络系统,并配备适当的安全产品的方法来实现:在管理层面,则通过构架信息安全管理体系(落实制度和人员培训)来实现。

 

British Standard 7799的信息管理过程是:

·确定信息安全管理方针和信息安全管理体系的范围

·进行风险分析

·根据风险分析,建立信息安全管理体系(制度和技术体系)

·建立业务持续计划并实施安全管理体系

 

设计院应根据自身的状况组织适合自身业务发展和信息安全需求的信息安全管理框架,并在正常的业务开展过程中具体实施构架,同时建立各种与信息安全管理框架相一致的相关文档、文件,并进行严格管理,对在具体实施的过程中出现的各种信息安全事件和安全状况进行严格的纪录,并建立严格的回馈流程和制度。

 

1确定信息安全管理方针和信息安全管理体系的范围

信息安全策略是企业理念及对保护企业关键数据和确保生产设计系统安全运行的寄予的厚望表征,它们通过精心编写、有效交流和实施得力的策略来帮助院消除由不当使用系统、软件、电子邮件系统和Internet带来的风险。信息安全政策是组织信息安全的最高方针,应该简单明了、通俗易懂并直指主题,避免将组织内所有层面的安全方针全部揉在一个政策中,使人不知所云。必须形成书面文件,广泛散发到组织内所有员工手中,并要对所有相关员工进行信息安全政策的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。 信息安全策略在企业实施网络安全措施中具有主导作用,只有针对自身特点制定合理的安全策略,才能使企业的安全措施行之有效、有据可依,取得预期的效果。良好、合理的安全策略将帮助用户评估网络风险、制定安全目标、确定合理可行的安全级别以及选择和部署安全解决方案。

 

设计院应该具备的信息安全管理方针:

·设计院拥有系统和数据,确保信息仅可让授权获取的人士访问、确保信息和处理方法的准确和完善、确保授权人需要时可以获取信息和相应的资产;

·员工同意不对院数据或院版权软件进行非授权复制、同意精心选择口令并不泄露口令、同意只以授权方式访问系统和数据、承认院拥有为安全目的而监控系统使用的权力,保证企业的名誉决不受到损害,是否遵守安全策略应作为每个员工业绩考评的一个组成部分;

·维护技术资源、知识产权和信息的价值;

·避免对信息、业务程序和财产造成破坏,籍以确保整个企业持续运营。

确定信息安全管理体系的范围:即在组织内选定在多大范围内构架信息安全管理体系。企业现有的组织结构是定义信息安全管理体系范围需要考虑的最重要的方面。

 

2进行风险分析

信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。

  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值