离散型行业信息化安全保障策略

信息管理就是把分散的信息安全技术因素、人的因素，通过政策规则协调整合成为一体，服务于企业信息化使命的安全目标。因此，参照国际先进的信息安全管理实践经验，结合企业的实际情况以及国家信息安全等级保护要求，以及风险等要求建立一套符合国际标准要求的信息安全保障管理体系，将有效地从管理、技术、运维等方面提高企业的总体信息安全水平，保障企业的业务持续运行，保护企业的核心竞争力。对于任何企业，采用ISAMS将是一项重要的战略性决策，企业信息化体系结构最重要是信息安全保障，如果没有信息安全保障，企业的信息化就很难健康地发展。

1.机构和制度管理

为了实现有效的安全保障，离散制造企业首先必须建立专门的安全保障组织机构，将安全保障工作提到企业工作历程上，并制定有效的信息安全保障管理体系。并在具体实施中始终坚持以下原则：

1)信息安全管理责任明确。管理是需要通过人来实施的。信息安全保障管理不是一个人的事情，要人人有事做，事事有人做，企业需要建立人与事的匹配关系，用角色和责任把这种关系明确起来，固定下来，以便备忘、查考、赏罚。同时，管理者还必须给予明确的支持和承诺。

2)信息安全保障管理“有规可依”。信息安全保障管理是一个动态的过程，需要建立符合规范的流程来体现这个过程。流程必须规范，使不同时间、不同的人在实施同类事物的管理时，步调一致、效果最佳、可以比较。

3)信息安全保障管理流程“执规必严”。赋有管理责任的角色，在实施信息安全时，绝不能信马由缰，随意乱来。相关的法律、规章、制度是实施管理的依据，必须与其保持一致。

4)信息安全保障管理整体的协调一致。信息安全保障管理的整体是通过不同部门、不同人员管理的各个分项综合来实现其效果的。它们之间为了整体的管理要求，必须协调。协调的要求应该是事先共识达成一致。为了协调，相互之间必须沟通，同时也要与企业的文化保持一致。

5)信息安全管理执行有据可查。规定的管理行为必须执行，执行的管理活动应该有据可查。信息安全管理活动必须留有记录、证据，以便查考管理的效果，改进完善管理行为。

6)信息安全保障管理的常态性。向所有管理者、员工和其他方提供适当的意识、培训和教育，传达有效的信息安全知识以使他们具备安全意识和素质。

7)信息安全保障管理要求明确。企业信息安全保障管理需求，一是从考虑企业整体业务战略和目标的情况下，评估组织的信息安全风险获得。通过风险评估，识别出资产受到的威胁，评价易受威胁利用的脆弱性和威胁发生的可能性，估计潜在的影响。二是企业开发的支持其运行的信息处理的原则、目标和业务要求的特定集合。三是来源于组织、贸易伙伴、合同方和服务提供者必须满足的法律、法规、规章和合同要求，以及他们的企业文化环境。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友