劉樹生

摘 要

隨著信息技術應用的日漸廣泛化，信息安全的受關注程度不斷提升，信息安全綜合治理也逐漸成為各界關注的焦點?；诖耍疚膶@信息安全管理開展綜合分析，并深入探討管理與技術相結合的信息安全綜合治理路徑，希望研究內容能夠為各類企業(yè)單位的信息安全水平提升帶來一定幫助。

關鍵詞

信息安全;信息技術;信息管理

中圖分類號： G270.7文獻標識碼： A

DOI：10.19694/j.cnki.issn2095-2457.2020.03.070

0 前言

對于各類企業(yè)單位來說，信息安全風險可細分為生產安全風險與信息安全風險，這類風險的源頭為信息技術與產品的應用。進一步分析可以發(fā)現(xiàn)，企業(yè)單位很容易在管理與技術方面出現(xiàn)信息安全問題，問題的針對性處理正是本文研究的關鍵所在。

1 信息安全管理的綜合分析

1.1 信息安全管理問題分析

企業(yè)單位很容易出現(xiàn)輕管理、重技術的問題，信息安全管理的有效性將受到較為負面影響。信息技術現(xiàn)階段在我國各領域均有著較為廣泛的應用并發(fā)揮著巨大作用，很多人因此產生了技術萬能的錯覺，認為單憑信息安全技術便可以滿足信息安全需要的情況也較為常見。在輕管理、重技術的影響下，管理的作用往往被忽視，很多企業(yè)單位因此出現(xiàn)安全管理措施不科學、落實不到位問題。考慮到信息安全風險無法完全消除，企業(yè)單位必須同時重視信息安全管理與信息安全技術，保證二者能夠真正配合，發(fā)揮相輔相成作用，進一步降低信息安全風險的發(fā)生概率[1]。

1.2 信息安全中管理與技術的基本應用

信息安全問題可細分為管理和技術兩個方面，管理方面問題包括信息安全的治理、業(yè)務連續(xù)性管理、內外部審計、外包管理、基于信息系統(tǒng)的管理，技術方面的問題則包括數據備份、網絡環(huán)境、機房環(huán)境、災備體系建設、敏感信息處理、信息安全保密、密碼策略、信息訪問控制、身份認證等。在具體的信息安全管理工作中，企業(yè)單位可建立風險管理體系，設立信息安全管理部門，制定信息安全規(guī)范與制度，各部門還需要從內控管理、稽核檢查、風險管理等不同角度管理、檢查各類信息安全風險，保證信息安全工作的有效性、合規(guī)性、可控性;而在信息安全技術的基本應用中，企業(yè)單位可圍繞安全傳輸、DMZ區(qū)、防火墻、實時監(jiān)控等技術建立網絡安全體系，基于數字證書、動態(tài)口令的統(tǒng)一安全認證平臺建設也需要得到重視，基于自身實際要求和技術問題的專題研究和攻關也能夠為信息安全問題提供差異化的解決方案，有效降低信息安全問題對企業(yè)單位發(fā)展帶來的負面影響[2]。

2 管理與技術相結合的信息安全綜合治理路徑

2.1 基于管理的信息安全綜合治理

信息安全綜合治理必須兼顧管理與技術，真正做到兩手抓兩手都要硬，這樣綜合治理的思想才能夠較好服務于信息安全的保障。在具體的信息安全綜合管理實踐中，企業(yè)單位的風險管理、信息科技、內控管理、稽核檢查等部門均需要參與其中，各部門需基于自身的視角和職責獨立管理信息安全風險，有效信息安全風險可得到有效控制，各部門在互相配合協(xié)同工作的情況下還能夠保證彼此的獨立性，信息安全綜合管理自然能夠取得令人滿意的成果。例如，企業(yè)單位的各管理部門可積極加強彼此間的協(xié)同與溝通，在完成各自獨立工作的同時，建立聯(lián)合工作組或召開聯(lián)席會議，這一工作溝通需定期圍繞信息安全等問題展開，信息安全管理工作的完善與改進可由此獲得不同方面、不同角度的支持。信息科技部門也需要充分發(fā)揮自身作用，以此建立協(xié)同工作機制，開展定期的技術交流、工作研討，保證企業(yè)單位的各部門均能夠參與到專業(yè)人才隊伍建設、信息安全工作改進工作中，信息安全管理能力與管理水平可由此不斷提升。

2.2 基于技術的信息安全綜合治理

考慮到近年來我國各類企業(yè)單位業(yè)務的復雜性和多樣化程度不斷提升，信息安全技術的應用也存在較為顯著的多樣化特點，企業(yè)單位需采用不同的信息安全保障手段滿足不同的業(yè)務系統(tǒng)需要，不同信息安全手段同時也擁有多種具備不同特性的信息安全技術。在具體的信息安全技術應用中，不同類別安全手段的適用范圍和針對性選用必須得到重視，企業(yè)單位需做好頂層設計，開展統(tǒng)一管理，以此體現(xiàn)信息安全技術的多樣性、層次化、綜合性特點，并同時保證信息安全系統(tǒng)建設的全面性，差異化模塊與公共模塊的分工同樣不容忽視，以此開展綜合運用，即可有效避免重復建設的問題出現(xiàn)。例如，企業(yè)單位需明確互聯(lián)網服務系統(tǒng)、網絡環(huán)境、自助系統(tǒng)等方面安全技術擁有的不同安全應用領域，不同安全應用領域的適用技術和信息安全要求也需要得到重視。在一個領域內，不同的處理環(huán)節(jié)和處理流程對適用技術、信息安全要求也存在顯著差別。在信息安全系統(tǒng)建設上，差異化的應用安全模塊、公共的安全設施的配合與差異也不容忽視。以互聯(lián)網服務為例，主要涉及加密存儲、加密傳輸、系統(tǒng)間互認、身份認證、操作監(jiān)控等安全手段，身份認證環(huán)節(jié)也需要使用多種技術手段。因此，按照統(tǒng)一信息安全策略的多種技術綜合使用屬于基于信息安全技術的信息安全綜合治理關鍵所在。

2.3 兼具管理與技術的信息安全綜合治理

為實現(xiàn)管理與技術相結合的信息安全綜合治理，必須重點關注信息安全工作的方法論、基本方針、實施原則，并以這類內容為指導思想，真正實現(xiàn)管理與技術的結合，信息科技管理也需要在這一過程中充分發(fā)揮自身作用。信息安全工作的方法論也可以被稱為四個要素，包括管理、技術、實施、策略。管理指的是嚴格遵章守制、強化風險意識、多方綜合管理，管理的落實屬于其中關鍵;技術的主要內容包括安全可控、規(guī)范有效、前瞻性把握、多種安全手段綜合運用，技術保障屬于其中關鍵;實施需要劃分不同的系統(tǒng)、信息安全等級要求，并落實分類安全措施，分類分級屬于其中關鍵;策略需開展綜合評估，評估對象包括可承受性、安全性、方便性、利益和代價、時間和成本等多種因素，合理可行屬于其中關鍵;信息安全工作基本方針主要包括依法合規(guī)、綜合治理、狠抓落實、安全可控。依法合規(guī)指的是嚴格遵循各類法律、政策、內控制度、標準規(guī)范，以此明確信息安全工作的核心、依據、抓手、基礎;綜合治理需做到管理與技術相輔相成，避免技術萬能論的出現(xiàn);狠抓落實需圍繞制度建設與落實開展管理，基于體系設計與實施應用技術;安全可控需關注國產化與外購產品結合，自主研發(fā)與引進吸收結合。結合上述基本方針，綜合治理理念即可在信息安全工作中得到更好體現(xiàn)，管理工作浪費時間、可有可無、煩瑣無用等錯誤認知可有效避免，加強管理具備的“磨刀不誤砍柴工”作用也能夠受到正確認識，信息安全體系的建設效率和質量提升也能夠由此獲得支持;在企業(yè)單位的信息安全工作中，實施原則同樣需要得到重視，具體原則包括人人擔起責任、不留安全死角、落實基本方針、增強風險意識。

基于上述兼具管理與技術的信息安全綜合治理路徑，信息科技管理在信息安全綜合治理中所發(fā)揮的作用同樣不容忽視，信息科技管理需積極完成科技成果引進與轉化、撰寫相關材料、跟蹤重點項目、檢索國內外相關領域專利情報資料、統(tǒng)計和上報科技創(chuàng)新各類政策等基本工作，相關風險源的辨識與評估、安全風險應急預案及措施的制定同樣需要得到重視。相關風險源的辨識與評估可圍繞重要數據展開，意外斷電、服務器故障、數據庫損壞、網絡系統(tǒng)大面積癱瘓等因素需得到重點關注;安全風險應急預案及措施的制定需明確響應等級，以此結合實際情況制定和啟動預案，并在必要時外請專業(yè)人員，應用程序BUG的判斷和上報、服務器損壞的快速處理、安全規(guī)則的優(yōu)化配置同樣需要得到重視。此外，人員在信息安全管理中采取的措施同樣不容忽視，如針對性成立信息安全領導小組與信息安全工作組，以此開展日常的信息安全檢查、重要崗位人員的政治素質審查、定期考察制度的落實，并明確系統(tǒng)維護員安全責任，開展針對性的第三方人員管理，配合針對性的信息安全知識與技能、政治思想教育、安全保密教育培訓，管理與技術相結合的信息安全綜合治理的基礎即可進一步夯實。

3 結論

綜上所述，管理與技術相結合的信息安全綜合治理需關注多方面因素影響。在此基礎上，本文涉及的信息安全綜合治理原則、基于管理的信息安全綜合治理、基于技術的信息安全綜合治理等內容，則提供了可行性較高的信息安全綜合治理路徑。為更好保證企業(yè)單位的信息安全，各類新型管理方法和信息安全技術的應用必須得到重視。

參考文獻

[1]劉松濤.企業(yè)信息安全治理[J].信息與電腦（理論版），2019（09）：204-205.

[2]倪文靜.信息安全綜合治理過程[J].中國標準化，2017（18）：255-256.