信息的安全对于很多政企单位而言至关重要,那么政企单位如何管理好自己的重要消息与核心机密呢?
我们常说用四分技术,七分管理来说明信息安全的重要性。管理是贯穿信息安全整个过程的生命线。作为实施信息安全重要途径的等级保护的管理 ,这种生命线的作用体现得就更为充分。
首先 ,信息安全等级保护制度的确立 ,需要有政策、法律、法规来保证。其次 ,信息安全等级保护的贯彻实施 ,需要有规范化的过程和制度 ,需要建立标准体系 ,进行系统和产品的研究与开发 ,进行系统和产品的测试与评估等。这些都需要有统一的管理和协调。另外 ,与技术相关管理更是无处不在。安全系统开发过程需要进行工程管理;安全系统的运行过程需要进行系统管理;甚至每一个安全功能的实现和正确使用 ,都离不开管理。
与信息安全有关的人包括安全系统的开发者、测试与评估者、运行管理者、使用者以及对这些过程的实施进行监督检查者。信息管理的目的是让参与信息安全的所有人员都能够按照确定的要求去行动。对开发者的管理是为了开发出符合安全要求的系统或产品 ;对测试与评估者的管理是为了对开发的系统和产品严格把关 ;对运行管理者的管理是为了确保运行管理者对系统或产品的运行进行正确控制 ;对使用者的管理是为了让使用者按规定合理使用系统或产品 ;对监督检查者的管理是为了让执法者严格执法。不同安全等级的信息安全对管理有不同的要求。为达到高级别的安全要求 , 需要更严格的管理。
相应的管理是许多安全技术和机制发挥作用的保证。如果没有严格的权限管理 ,而是随意授权 ,访问控制就失去了应有作用。如果没有人员分工上的严格管理 ,对系统管理员、安全员、审计员实行权限分离的安全机制就不能发挥应有作用。
类似的情况在安全系统中随处可见。最普遍的情况是 ,几乎所有的安全机制都需要进行正确的系统配置、操作和运行控制 ,而且越是高级别的系统这种要求就越多、越严格 ,如果没有按照要求进行操作、配置和运行控制 ,相应的安全技术和机制就起不到应有的作用 ,甚至成为攻击的弱点和漏洞。与技术密切相关的管理要求应在系统开发过程中同时产生 ,并以文档形式(包括安全员指南和用户指南 )随系统一起提交用户。
信息管理的重要性还体现在领导的重视程度上。实践证明 ,在我国信息系统建设阶段 ,哪个单位没有领导的重视与支持 ,哪个单位的信息系统建设就不会有好的发展。相反 ,得到了主要领导的重视和支持 ,单位信息系统的建设就会有好的发展。这已经成为不争的事实。
推荐阅读:江西华能集团IT运维审计经典案例
