【IT168 专稿】最近一段时间针对微软操作系统漏洞的病毒肆虐，给大多数的企业和个人带来了不少的麻烦。在同一时间几乎所有受害者都在惊呼“我是怎么感染病毒的？”，这里面不乏一些安全设施齐备并有专人负责的大公司。可为什么就是在这样的大公司里还会让病毒有机可乘？更难以想象的是病毒不仅仅进入了大公司的内部而且还轻易的使大公司反倒成为了一个巨大的攻击者。

值得思考的不仅仅是此次病毒的大面积爆发给用户带来的经济损失和信息损失，而应该更深入的考虑为什么每次有病毒爆发都会有如此之多的受害企业！对于这些问题所有人几乎都会异口同声地回答说：“没办法，根本就不知道有病毒”，而很少有人会想到信息安全管理体系的滞后。

信息安全的意义

要考虑信息安全问题，我们就不得不从信息系统开始说起。我们建设信息系统的目的主要是为了提高我们业务信息处理的效率。然而就在我们逐渐的开始熟悉甚至依赖于信息系统对我们业务流程的支持时，如果我们的信息系统由于安全问题不能支持我们的业务了，整个组织的业务必然会受到影响，进而造成利益的损失。

在ISO17799中是这样来描述这个问题的“信息安全的目的就是保护信息免受各方面众多的威胁，从而达到持续运营的目的，并使威胁对运营的危害性降低至最小程度，尽最大可能提高投资收益和增加商业机会”。由此，我们不难看出保证业务连续性才是一个组织建立信息安全系统的根本目的。换言之，我们所追求的安全性其实是为保证业务的连续性。

现有问题深入分析

有句话叫做“三分技术七分管理”，对于一个成功的项目来讲技术水平的高低只能占到三成比例，而真正起到决定作用的因素应该是我们的安全管理体系！然而有人认为只要信息安全项目施工完成就万事大吉，就能太平天下从此不用忧心忡忡。这样的人不是没有而是很多，更令人担忧的是企业的高级管理者普遍这样认知。

如果在一个“成功项目”完工后企业的决策者仍不能很好的认识到安全问题的严重性与危害性，那么这个项目应该说是失败的。因为实际上这个项目仅仅完成了三成的工作，最重要的也是最需要管理者支持的七成工作都还没有开展下去。

是什么问题让我们看到了如此多的“成功项目”可最后却不堪一击呢？分析其原因总体上可以分为几大类：

1、厂家在宣传其产品时过于夸大其词：对于IT部门主管或项目负责人来讲，肯定会在设备选型与选购过程中反反复复的听到类似于我们的产品如何先进、如何自动化、如何智能化等一系列“领先于行业”的介绍，而对于产品的缺陷与日后的管理却只字未提；

2、领导层人员相关知识普遍不足：其实这个问题不仅仅存在于领导层，对于多数企业员工来讲知识的匮乏也是相当危险的一个安全隐患。也正是由于安全意识不足才导致了管理手段滞后和对信息安全问题的忽视；

3、技术人员意识缺陷：网络管理、系统管理、安全管理这些职位的重点普遍被技术人员认知为技术水平的高低。对于一个成功的企业IT管理员来讲成功的重点并不是技术水平有多么的高超，而应该是如何统筹管理现有设备的协同工作和互为补充；

4、获取信息的渠道匮乏：目前作为用户来讲除了经常性的查看安全厂商主页以外很难再从第二渠道及时地获得安全提示，这也就延误了在第一时间切断安全隐患的大好时机。

由于上述种种，我们的信息安全系统往往不能够达到我们预期的安全目的。目前，大家也都在思考这个问题。

管理体系作用几何？

其实管理对于信息安全的意义也内早已有了共识，但是对于如何成功地实施安全管理体系却一直都在探索之中。目前国际上对安全管理也有很多的尝试，比较有代表性的有ISO13335和ISO17799这两个安全管理的标准。对于这两个标准还有很多不同评价，但我们认为其参考或借鉴的价值是现而易见的。
尽管已经有了这些标准，但是建立信息安全管理体系能够对我们的信息安全起到哪些作用呢？

建立信息安全管理体系能够使我们从宏观角度全面地考虑各种因素，比如技术的、制度的、人为的等等，并且提供了一套基准以便能使我们综合的考虑各种因素；

建立信息安全管理体系能够使我们在建设过程中通过对企业各种业务流程的分析，从而能够比较全面的识别各种影响业务连续性的风险。并且可通过管理系统本身对各种风险以及系统本身进行持续性的识别和改进，达到一个保持更新的目的；

通过信息安全管理体系对各种影响业务连续性风险的识别，从而能够轻易的划分、规范和分析各种风险的重要程度及危害性；

无论ISO17799还是ISO13335都强调了风险评估的必要性。正确理解和把握这一点可使我们在规划信心安全体系的时候更具理性；

同样的，ISO17799和ISO13335也都强调了人的作用，要求对所有相关人员进行必要的以及经常性的安全培训，以使他们的行为和理念能够符合整个安全体系的要求。这一点同样至关重要；

通过信息安全管理体系明确企业的信息安全规范、规定相关的权限和责任。信息的处理必须在相应的控制措施保护下进行；

其实建立信息安全体系的作用远不仅如此，目前在信息安全界仍存有很多观点、理念以及方法的探索。但是毋庸置疑的是，通过建立信息安全体系能够使我们通过与安全产品和技术构建的安全系统更有效的整合，从而使企业信息安全运行成为一个整体。

围绕核心选择道路

其实对于建设信息安全体系整体来讲，实施是相对容易的一个环节。因为通过我们对安全体系观点和理念的深入分析以及对各种可行方法的不断探索，使我们已经具备了总体的和局部的实施方法及细则，为我们的真正建设奠定了坚实的基础。

在实施过程中企业可以参考一些国际标准作为实施的核心依据，另外企业也可以根据自身需要自主建立实施或聘请专业安全公司提供全面的技术指导与支持。但不管怎样我么都应始终围绕核心选择适合自己的信息安全化道路，而不要盲从于已有的工程案例。

笔者参考相关国际标准为大家列出了下面几个核心问题，希望能在如何选择适合自己的安全化道路方面给大家以一定帮助。

1、安全方针：制定一份适合企业自身情况的安全方针可为信息安全提供管理指导和支持；

2、安全组织：应在公司内部管理信息安全；

3、资产分类及管理：对公司的信息资产采取适当的保护措施；

4、人员安全：通过对人员的培训与考核，尽最大可能减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险；

5、实体和环境安全：防止对商业场所及信息未经授权的访问、损坏及干扰；

6、通讯与运作管理：确保信息处理设施正确和安全运行；

7、访问控制：统一管理对信息的访问；

8、系统的建立和维护：确保将安全体系完整的纳入信息系统；

9、商业活动连续性管理：防止商业活动的中断，并保护关键的业务过程免受重大故障或灾难的影响；

10、符合法律：避免违反任何刑法和民法、法律法规或合同义务以及任何安全要求。

小编结语

建立适合企业自身的信息安全管理体系是信息事业发展的必然趋势，尽管现在要走的路还很长，还需要各方面的不断补充和完善，但建立、运行以及不断改进完善我们的信息安全管理体系必将大大提高我们企业自身的安全防范能力。