|
|
| 来源 |
陕西应用物理化学研究所 |
作者 |
赵久宏 |
日期 |
2008-9-4 10:37:27 |
计算机病毒、网络攻击、垃圾邮件、系统漏洞、网络窃密、虚假有害信息和网络违法犯罪等问题日渐突出,如应对不当,可能会给我国经济社会发展和国家安全带来不利影响。所以《国家信息化发展战略(2006年-2020年)》中提出我国信息化发展的战略重点建设国家信息安全保障体系。全面加强国家信息安全保障体系建设。坚持积极防御、综合防范,探索和把握信息化与信息安全的内在规律,主动应对信息安全挑战,实现信息化与信息安全协调发展。国家信息化领导小组第五次会议上强调,在制定和实施国家信息化发展战略中,要着力解决好的几个问题其中也提到:注重建设信息安全保障体系,实现信息化与信息安全协调发展。
国防科技工业是包括武器装备制造业以及核工业、航天航空、船舶等相关产业在内的高科技产业群,是先进制造业的重要组成部分,是综合国力的重要标志。二十一世纪头二十年,是国防科技工业改革调整的关键阶段。国防科技工业坚持军民结合、寓军于民、大力协同、自主创新的战略方针,要使国防科技工业经济增长方式由粗放型转向集约型,大力推进产业的高技术化和集约化,加速机械军工向数字军工转变,国防科技工业信息化起到了关键性作用。然而,信息安全管理在当前的信息环境和安全形势下表现的至观重要,信息安全问题已经成为了国防科技工业IT规划、建设和管理过程中最为紧迫、最引人注目的热点之一。伴随着国防科技工业企业信息化深入,信息安全表现为:信息网络规模不断扩大、复杂度不断提高,对信息网络的依赖性越来越强,企业网络价值与企业价值正在同步提升;单纯的安全补救工作难见成效,集中安全管理的需求越来越明显;黑客群体不断壮大,网络病毒肆意嚣张,安全事件层出不穷;恶意威胁和恶意攻击日益增多;业务系统的安全运行需要可靠保障;保护企业的机密数据不被泄漏。所以说,国防科技工业信息化的过程中要注重信息安全保障体系建设,实现信息化与信息安全协调发展。那么,如何建设信息安全保障体系具体如下:
1.建立信息安全保障体系坚持的原则:
(1) 基于风险管理,投入有的放矢
(2) 注重体系化采用系统方法,确保万无一失
(3) 预防为主,持续改进
(4) 注重策略和管理,建立文件管理体系,提供证据
(5) 为法律法规要求,提供框架
(6) 注重安全核心人
2.明确信息安全管理目标
为了保障企业信息资产的安全,为了更好的理解和便于操作,信息安全管理目标通常被分解为保持企业信息资产及其所支持业务流程的三个性质:保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。
(1) 保密性 保障信息只有被授权使用的人可以访问。
(2) 完整性 保护信息及其处理方法的准确性和完整性。
(3) 可用性 保障授权使用人在需要时可以获取信息和使用相关的资产。
各类企业,无论其规模和性质,其信息安全管理行为的目的都是为了保障组织的信息资产及其所支持业务流程的保密性、完整性和可用性。作为国防科技工业企业更需要关注保密性、完整性。
3.参考国际惯例,结合国防科技工业涉密的要求
我们可以了解一下BS7799国际信息安全管理体系标准是如何建立一个企业(组织)的安全管理体系的。
BS 7799-2:2002的PDCA过程模式。 “计划-实施-检查-措施”四个步骤可以应用于所有过程。PDCA过程模式可简单描述如下:
1) P(策划)—建立信息安全管理体系环境.&风险评估
要启动PDCA循环,必须有“启动器”:提供必须的资源、选择风险管理方法、确定评审方法、文件化实践。设计策划阶段就是为了确保正确建立信息安全管理体系的范围和详略程度,识别并评估所有的信息安全风险,为这些风险制定适当的处理计划。策划阶段的所有重要活动都要被文件化,以备将来追溯和控制更改情况。
(1) 确定范围和方针
(2) 定义风险评估的系统性方法
(3) 识别风险
(4) 评估风险 |
| 上一篇:暂时没有记录 |
| 下一篇:内网安全解决方案经验谈 |
|
