企业信息安全保障体系建设关键点-04-1018:15出处：pconline作者：佚名责任编辑：pcnanjingHYPERLINK"://network.pconline.com.cn/price/js/1204/2747204.html&columnId="\t"_blank"(评论0条)怎样保障业务信息安全和系统运行安全，已经成为企业内部控制关键任务之一。企业內控体系建设是一个复杂而且浩大工程，现在不缺乏完整内控体系理论，但怎样把如此复杂工程进行细化和落地，则需要部分实际适用方法。下面怎样建设完整信息安全保障体系方法和步骤，能够作为内控体系建设参考方法。建立有效信息安全保障体系前提伴随信息技术发展，绝大部分企业业务模式离不开信息系统支持，业务在新电子化模式下怎样得到有效安全保障，尤其是怎样保障系统运行安全和业务信息安全，已成为企业内部控制关键任务之一。信息安全已经从布署防火墙、防病毒软件等单一技术手段，发展到建立整体化信息安全保障体系，所以信息安全保障体系计划和建设就显得尤为关键。信息安全不仅仅是IT部门工作，也是需要企业全部部门和职员共同实现一项日常工作，所以信息安全保障体系建设是一个复杂而且长久过程。以下要素是有效建立信息安全保障体系关键前提：业务驱动：信息安全任务实施一定要从业务角度出发，在实施时必需时刻考虑到业务需求，在信息安全建设过程中取得业务部门支持和配合，共同推进信息安全建设开展。长久可靠合作伙伴：良好合作伙伴对于确保信息安全建设能够成功实施是十分关键。经过长久可靠合作关系，快速引进外部专业资源和优异技术，能够帮助企业推进信息安全建设工作。高层支持：信息安全任务通常情况下会包含到企业各个部门参与、配合乃至利益关系，所以在实施过中需要企业高层支持，以分配必需资源,推进跨部门协作，确保项目标顺利实施。有效实施管理和监控：为了获取体系建设最大收益，尽可能降低风险，需要落实强有力实施管理和监控方法，在跟踪总体计划同时，合理安排各任务进度和资源，强化对各任务/子任务管理和监控。各企业企业文化差异，可能会有不一样影响原因，不过以上四个原因是任何企业在开展信息安全工作是要充足考虑原因，不然很可能会把这项工作结果束之高阁。信息安全保障体系框架模型怎样建立信息安全保障框架?中国外有哪些标准或指南能够参考?这是建立一个合理信息安全保障体系框架基础。目前有很多很好综合性标准和规范能够参考，其中很有名就是ISO/IEC27000系列标准。ISO/IEC27001经过PDCA过程(即戴明环)，指导企业怎样建立可连续改善体系。其次，美国国家安全局提出信息保障技术框架(InformationAssuranceTechnicalFramework，IATF)是另一个能够参考有效框架。IATF发明性地提出了信息保障依靠于人、技术和操作来共同实现组织职能和业务运作思想，对技术和信息基础设施管理也离不开这三个要素。IATF认为，稳健信息保障状态意味着信息保障策略、过程、技术和机制在整个组织信息基础设施全部层面上全部能得以实施。另外，BS25999提出业务连续性是一个企业业务保障关键方法，ISCACA组织信息系统审计师CISA教程认为IT审计是保障组织建立有效控制关键手段等等。企业怎样综合利用这么多理论框架，建立适合于本身信息安全保障体系?依据作者多年经验，认为一个企业能够根据图1“企业信息安全保障框架”所表示框架进行建设:信息安全保障应该建立纵深防御体系，什么是纵?什么是深?图1所表示，纵是有三个层面(事前、事中、事后)全方面控制;深是从五个方向(安全组织体系、安全制度体系、安全运行体系、安全技术体系、安全应急体系)进行深入防御。纵：正如信息安全这四个字所表现一样，以保护信息为其最关键目标。那么就应该对信息安全事件发生之前、之中和以后进行有效控制。即以预防控制为主，不过也不能忽略操作性控制和恢复性控制。所以，应该从信息事前预防、事中监控和事后恢复三个层面建设信息安全。深：信息安全包含领域很广，以人员、硬件、数据、软件等方面全部会包含。我们需要对从组织体系、制度体系、技术体系、运行体系、应急体系五个方面深度进行概括。组织：人是实施信息安全最关键原因，人控制好了，信息安全就控制好了。所以成立一个合理和有效安全组织架构，对于确保安全日常运行是最关键。建立一个成功信息安全组织体系有很多关键步骤，不过组织高级管理层参与、安全纳入绩效考评、人员信息安全意识和技能培训是必不可少成功原因。制度：把信息安全好做法固化下来形成规则，就是制度。所以，信息安全制度是组织中信息安全行为准则。信息安全保障体系只有做到制度化、规范化才能愈加好地确保事前预防、事中监控、和事后审计等安全方法实施和落实。技术：技术是安全必不可少实施工具，采取哪些安全技术，市场上有哪些工具能够