8.2  企業(yè)信息安全體系

8. 2.1  信息安全體系架構(gòu)

不同的企業(yè)對(duì)信息安全的需求不同，構(gòu)建企業(yè)切實(shí)可行的信息安全體系，實(shí)質(zhì)上是實(shí)施一個(gè)復(fù)雜的系統(tǒng)工程，既不能照抄照搬其他企業(yè)的模式，也不能簡(jiǎn)單地堆砌各種安全產(chǎn)品，而要考慮兼顧諸多因素：

一要充分認(rèn)知企業(yè)信息安全現(xiàn)實(shí)和未來(lái)發(fā)展趨勢(shì)，兼顧企業(yè)內(nèi)外部物理環(huán)境、系統(tǒng)本身的特征、人文因素，因勢(shì)利導(dǎo)，對(duì)癥下藥；二要管理手段和技術(shù)措施并重，管理作指導(dǎo)，技術(shù)作保障；三要兼治外部攻擊和內(nèi)部缺陷，防外與防內(nèi)相結(jié)合；四要系統(tǒng)加固與反攻擊同步，在加強(qiáng)外部防范的同時(shí)，要加強(qiáng)信息系統(tǒng)本身的安全措施；五要安全性與易用性適衡，信息系統(tǒng)只有有效使用才能充分發(fā)揮作用，不能因噎廢食，過(guò)分追求安全，嚴(yán)重影響系統(tǒng)的應(yīng)用性能；六要考慮安全投入與信息系統(tǒng)價(jià)值相匹配，企業(yè)一方面要節(jié)約成本，另一方面要把安全風(fēng)險(xiǎn)降低到可以接受的程度。

充分考慮和權(quán)衡上述因素，才有可能建立適合企業(yè)自身的信息安全體系。

企業(yè)信息安全體系的設(shè)計(jì)，要完整地包括信息安全策略、信息安全組織、信息安全技術(shù)和信息安全建設(shè)與運(yùn)行四部分內(nèi)容，具體是：

建立企業(yè)信息安全策略框架，制定信息資產(chǎn)和信息系統(tǒng)的分級(jí)規(guī)范和相應(yīng)的安全保護(hù)標(biāo)準(zhǔn)，制定完善的信息安全策略、安全管理制度、安全技術(shù)規(guī)范、操作流程、操作規(guī)范，形成完整的策略體系，并建立策略體系動(dòng)態(tài)維護(hù)機(jī)制。