管理與技術(shù)相結(jié)合的信息安全綜合治理分析

1、    管理與技術(shù)相結(jié)合的信息安全綜合治理分析    劉樹生摘 要隨著信息技術(shù)應(yīng)用的日漸廣泛化，信息安全的受關(guān)注程度不斷提升，信息安全綜合治理也逐漸成為各界關(guān)注的焦點?；诖?，本文將圍繞信息安全管理開展綜合分析，并深入探討管理與技術(shù)相結(jié)合的信息安全綜合治理路徑，希望研究內(nèi)容能夠為各類企業(yè)單位的信息安全水平提升帶來一定幫助。關(guān)鍵詞信息安全;信息技術(shù);信息管理： g270.7： adoi：10.19694/ki.issn2095-2457.2020.03.0700 前言對于各類企業(yè)單位來說，信息安全風險可細分為生產(chǎn)安全風險與信息安全風險，這類風險的源頭為信息

2、技術(shù)與產(chǎn)品的應(yīng)用。進一步分析可以發(fā)現(xiàn)，企業(yè)單位很容易在管理與技術(shù)方面出現(xiàn)信息安全問題，問題的針對性處理正是本文研究的關(guān)鍵所在。1 信息安全管理的綜合分析1.1 信息安全管理問題分析企業(yè)單位很容易出現(xiàn)輕管理、重技術(shù)的問題，信息安全管理的有效性將受到較為負面影響。信息技術(shù)現(xiàn)階段在我國各領(lǐng)域均有著較為廣泛的應(yīng)用并發(fā)揮著巨大作用，很多人因此產(chǎn)生了技術(shù)萬能的錯覺，認為單憑信息安全技術(shù)便可以滿足信息安全需要的情況也較為常見。在輕管理、重技術(shù)的影響下，管理的作用往往被忽視，很多企業(yè)單位因此出現(xiàn)安全管理措施不科學、落實不到位問題。考慮到信息安全風險無法完全消除，企業(yè)單位必須同時重視信息安全管理與信息安全技術(shù)，

3、保證二者能夠真正配合，發(fā)揮相輔相成作用，進一步降低信息安全風險的發(fā)生概率1。1.2 信息安全中管理與技術(shù)的基本應(yīng)用信息安全問題可細分為管理和技術(shù)兩個方面，管理方面問題包括信息安全的治理、業(yè)務(wù)連續(xù)性管理、內(nèi)外部審計、外包管理、基于信息系統(tǒng)的管理，技術(shù)方面的問題則包括數(shù)據(jù)備份、網(wǎng)絡(luò)環(huán)境、機房環(huán)境、災(zāi)備體系建設(shè)、敏感信息處理、信息安全保密、密碼策略、信息訪問控制、身份認證等。在具體的信息安全管理工作中，企業(yè)單位可建立風險管理體系，設(shè)立信息安全管理部門，制定信息安全規(guī)范與制度，各部門還需要從內(nèi)控管理、稽核檢查、風險管理等不同角度管理、檢查各類信息安全風險，保證信息安全工作的有效性、合規(guī)性、可控性;而在

4、信息安全技術(shù)的基本應(yīng)用中，企業(yè)單位可圍繞安全傳輸、dmz區(qū)、防火墻、實時監(jiān)控等技術(shù)建立網(wǎng)絡(luò)安全體系，基于數(shù)字證書、動態(tài)口令的統(tǒng)一安全認證平臺建設(shè)也需要得到重視，基于自身實際要求和技術(shù)問題的專題研究和攻關(guān)也能夠為信息安全問題提供差異化的解決方案，有效降低信息安全問題對企業(yè)單位發(fā)展帶來的負面影響2。2 管理與技術(shù)相結(jié)合的信息安全綜合治理路徑2.1 基于管理的信息安全綜合治理信息安全綜合治理必須兼顧管理與技術(shù)，真正做到兩手抓兩手都要硬，這樣綜合治理的思想才能夠較好服務(wù)于信息安全的保障。在具體的信息安全綜合管理實踐中，企業(yè)單位的風險管理、信息科技、內(nèi)控管理、稽核檢查等部門均需要參與其中，各部門需基于自

5、身的視角和職責獨立管理信息安全風險，有效信息安全風險可得到有效控制，各部門在互相配合協(xié)同工作的情況下還能夠保證彼此的獨立性，信息安全綜合管理自然能夠取得令人滿意的成果。例如，企業(yè)單位的各管理部門可積極加強彼此間的協(xié)同與溝通，在完成各自獨立工作的同時，建立聯(lián)合工作組或召開聯(lián)席會議，這一工作溝通需定期圍繞信息安全等問題展開，信息安全管理工作的完善與改進可由此獲得不同方面、不同角度的支持。信息科技部門也需要充分發(fā)揮自身作用，以此建立協(xié)同工作機制，開展定期的技術(shù)交流、工作研討，保證企業(yè)單位的各部門均能夠參與到專業(yè)人才隊伍建設(shè)、信息安全工作改進工作中，信息安全管理能力與管理水平可由此不斷提升。2.2 基

6、于技術(shù)的信息安全綜合治理考慮到近年來我國各類企業(yè)單位業(yè)務(wù)的復雜性和多樣化程度不斷提升，信息安全技術(shù)的應(yīng)用也存在較為顯著的多樣化特點，企業(yè)單位需采用不同的信息安全保障手段滿足不同的業(yè)務(wù)系統(tǒng)需要，不同信息安全手段同時也擁有多種具備不同特性的信息安全技術(shù)。在具體的信息安全技術(shù)應(yīng)用中，不同類別安全手段的適用范圍和針對性選用必須得到重視，企業(yè)單位需做好頂層設(shè)計，開展統(tǒng)一管理，以此體現(xiàn)信息安全技術(shù)的多樣性、層次化、綜合性特點，并同時保證信息安全系統(tǒng)建設(shè)的全面性，差異化模塊與公共模塊的分工同樣不容忽視，以此開展綜合運用，即可有效避免重復建設(shè)的問題出現(xiàn)。例如，企業(yè)單位需明確互聯(lián)網(wǎng)服務(wù)系統(tǒng)、網(wǎng)絡(luò)環(huán)境、自助系統(tǒng)等

7、方面安全技術(shù)擁有的不同安全應(yīng)用領(lǐng)域，不同安全應(yīng)用領(lǐng)域的適用技術(shù)和信息安全要求也需要得到重視。在一個領(lǐng)域內(nèi)，不同的處理環(huán)節(jié)和處理流程對適用技術(shù)、信息安全要求也存在顯著差別。在信息安全系統(tǒng)建設(shè)上，差異化的應(yīng)用安全模塊、公共的安全設(shè)施的配合與差異也不容忽視。以互聯(lián)網(wǎng)服務(wù)為例，主要涉及加密存儲、加密傳輸、系統(tǒng)間互認、身份認證、操作監(jiān)控等安全手段，身份認證環(huán)節(jié)也需要使用多種技術(shù)手段。因此，按照統(tǒng)一信息安全策略的多種技術(shù)綜合使用屬于基于信息安全技術(shù)的信息安全綜合治理關(guān)鍵所在。2.3 兼具管理與技術(shù)的信息安全綜合治理為實現(xiàn)管理與技術(shù)相結(jié)合的信息安全綜合治理，必須重點關(guān)注信息安全工作的方法論、基本方針、實施原

8、則，并以這類內(nèi)容為指導思想，真正實現(xiàn)管理與技術(shù)的結(jié)合，信息科技管理也需要在這一過程中充分發(fā)揮自身作用。信息安全工作的方法論也可以被稱為四個要素，包括管理、技術(shù)、實施、策略。管理指的是嚴格遵章守制、強化風險意識、多方綜合管理，管理的落實屬于其中關(guān)鍵;技術(shù)的主要內(nèi)容包括安全可控、規(guī)范有效、前瞻性把握、多種安全手段綜合運用，技術(shù)保障屬于其中關(guān)鍵;實施需要劃分不同的系統(tǒng)、信息安全等級要求，并落實分類安全措施，分類分級屬于其中關(guān)鍵;策略需開展綜合評估，評估對象包括可承受性、安全性、方便性、利益和代價、時間和成本等多種因素，合理可行屬于其中關(guān)鍵;信息安全工作基本方針主要包括依法合規(guī)、綜合治理、狠抓落實、安

9、全可控。依法合規(guī)指的是嚴格遵循各類法律、政策、內(nèi)控制度、標準規(guī)范，以此明確信息安全工作的核心、依據(jù)、抓手、基礎(chǔ);綜合治理需做到管理與技術(shù)相輔相成，避免技術(shù)萬能論的出現(xiàn);狠抓落實需圍繞制度建設(shè)與落實開展管理，基于體系設(shè)計與實施應(yīng)用技術(shù);安全可控需關(guān)注國產(chǎn)化與外購產(chǎn)品結(jié)合，自主研發(fā)與引進吸收結(jié)合。結(jié)合上述基本方針，綜合治理理念即可在信息安全工作中得到更好體現(xiàn)，管理工作浪費時間、可有可無、煩瑣無用等錯誤認知可有效避免，加強管理具備的“磨刀不誤砍柴工”作用也能夠受到正確認識，信息安全體系的建設(shè)效率和質(zhì)量提升也能夠由此獲得支持;在企業(yè)單位的信息安全工作中，實施原則同樣需要得到重視，具體原則包括人人擔起責

10、任、不留安全死角、落實基本方針、增強風險意識?；谏鲜黾婢吖芾砼c技術(shù)的信息安全綜合治理路徑，信息科技管理在信息安全綜合治理中所發(fā)揮的作用同樣不容忽視，信息科技管理需積極完成科技成果引進與轉(zhuǎn)化、撰寫相關(guān)材料、跟蹤重點項目、檢索國內(nèi)外相關(guān)領(lǐng)域?qū)＠閳筚Y料、統(tǒng)計和上報科技創(chuàng)新各類政策等基本工作，相關(guān)風險源的辨識與評估、安全風險應(yīng)急預(yù)案及措施的制定同樣需要得到重視。相關(guān)風險源的辨識與評估可圍繞重要數(shù)據(jù)展開，意外斷電、服務(wù)器故障、數(shù)據(jù)庫損壞、網(wǎng)絡(luò)系統(tǒng)大面積癱瘓等因素需得到重點關(guān)注;安全風險應(yīng)急預(yù)案及措施的制定需明確響應(yīng)等級，以此結(jié)合實際情況制定和啟動預(yù)案，并在必要時外請專業(yè)人員，應(yīng)用程序bug的判斷和上報、服務(wù)器損壞的快速處理、安全規(guī)則的優(yōu)化配置同樣需要得到重視。此外，人員在信息安全管理中采取的措施同樣不容忽視，如針對性成立信息安全領(lǐng)導小組與信息安全工作組，以此開展日常的信息安全檢查、重要崗位人員的政治素質(zhì)審查、定期考察制度的落實，并明確系統(tǒng)維護員安全責任，開展針對性的第三方人員管理，配合針對性的信息安全知識與技能、政治思想教育、安全保密教育培訓，管理與技術(shù)相結(jié)合的信息安全綜合治理的基礎(chǔ)即可進一步夯實。3 結(jié)論綜上所述，管理與技術(shù)相結(jié)合的信息安全綜合治理需關(guān)注多方面因素影響。在此基礎(chǔ)上，本文涉及的信息安全綜合治理原則、基于管理的信息安全綜合治理、基于技術(shù)的