上一篇文章我們瞭解了信息安全規劃的重要作用,本文主要講述信息安全規劃需要全局性考慮的幾個方面。
一、信息安全規劃依託企業信息化戰略規劃
信息化戰略規劃是以整個組織的發展目標、發展戰略和組織各部門的業務需求爲基礎,結合行業信息化方面的需求分析、環境分析和對信息技術發展趨勢的掌握,定義出組織信息化建設的遠景、使命、目標和戰略,規劃出組織信息化建設的未來架構,爲信息化建設的實施提供一副完整的藍圖,全面系統地指導組織信息化建設的進程。信息安全規劃依託企業信息化戰略規劃,對信息化戰略的實施起到保駕護航的作用。信息安全規劃的目標應該與組織信息化的目標是一致的,而且應該比組織信息化的目標更具體明確、更貼近安全。信息安全規劃的一切論述都要圍繞着這個目標展開和部署。
二、信息安全規劃需要圍繞技術安全、管理安全、組織安全考慮
信息安全規劃的方法可以不同、側重點可以不同,但是需要圍繞技術安全、組織和管理安全、運維安全進行全面的考慮。規劃的內容基本上應該涵蓋有:確定信息安全的任務、目標、戰略以及戰略部門和戰略人員,並在此基礎上制定出物理安全、網絡安全、系統安全、運維安全、人員安全的信息安全總體規劃。物理安全包括環境設備安全、信息設備安全、網絡設備安全、信息資產設備的物理分佈安全等。網絡安全包括網絡拓撲結構安全、網絡訪問安全等。系統安全包括操作系統安全、應用軟件安全、應用策略安全等。運維安全應在控制層面和管理層面保障,包括備份與恢復系統安全、漏洞檢查及系統補丁功能、口令管理等。人員安全包括安全管理的組織機構、人員安全教育與意識機制、人員招聘及離職管理、第三方人員安全管理等。
三、信息安全規劃的影響力在信息系統與信息資源
信息安全規劃的最終效果應該體現在對信息系統與信息資源的安全保護上,因此規劃工作需要圍繞着信息系統與信息資源的開發、利用和保護工作進行,包括藍圖、現狀、需求、措施四個方面。首先,對信息系統與信息資源的規劃需要從信息化建設的藍圖入手,明確組織信息化發展策略的總體目標和各階段的實施目標,制定出信息安全的發展目標;第二,對組織的信息化工作現狀進行整體的、綜合、全面的分析,找出過去工作中的優勢與不足;第三,根據信息化建設的目標提出未來幾年的需求,這個需求最好可以分解成若干個小的方面,以便於今後的落實與實施;第四,要將實施工作階段的具體措施與辦法文檔化,提高規劃工作的執行力度。
信息安全規劃服務於企業信息化戰略目標,信息安全規劃做得好,組織信息化工作的實現就有了保障。信息安全規劃是組織信息化發展戰略的基礎性工作,不是可有可無而是非常重要。由於組織信息化的任務與目標不同,所以信息安全規劃包括的內容就不同,建設的規模就有很大的差異,因此信息安全規劃無法從專業書籍或研究資料中找到非常有針對性的幫助,也不可能給出一個規範化的信息安全規劃的模板。在這裏提出信息安全規劃框架與方法,給出了信息安全規劃工作的一種建設原則、建設內容、建設思路,具體規劃還需要深入細緻地進行本地化的調查與研究。
以上是山東省軟件評測中心多年的工作總結,希望能給大家帶來幫助,不足之處還望指正。