信息安全不止單純的技術(shù)問題

云飛

信息安全工作開展的時(shí)候，如果只是一味地注重技術(shù)的作用，忽略管理的重要性，就很難把項(xiàng)目的信息安全措施落到實(shí)處，信息安全技術(shù)很難得到有效發(fā)揮。

信息安全可分為狹義安全與廣義安全兩個(gè)層次，狹義的安全是建立在以密碼論為基礎(chǔ)的計(jì)算機(jī)安全領(lǐng)域，早期的信息安全通常以此為基準(zhǔn)，輔以計(jì)算機(jī)技術(shù)、通信網(wǎng)絡(luò)技術(shù)與編程等方面的內(nèi)容;廣義的信息安全是從傳統(tǒng)的計(jì)算機(jī)安全到信息安全，安全不再是單純的技術(shù)問題，而是將管理、技術(shù)、法律等問題相結(jié)合的產(chǎn)物。

從信息安全的實(shí)踐中，我們發(fā)現(xiàn)信息安全的體系中包含了兩個(gè)重要的部分，一個(gè)是信息安全技術(shù)，一個(gè)是信息安全管理。

信息安全工作開展的時(shí)候，如果只是一味地注重技術(shù)的作用，忽略管理的重要性，就很難把項(xiàng)目的信息安全措施落到實(shí)處，信息安全技術(shù)很難得到有效發(fā)揮。完善信息安全組織機(jī)構(gòu)、制度，細(xì)化職責(zé)分工，制定執(zhí)行標(biāo)準(zhǔn)，確保日常管理、檢查等制度的有效執(zhí)行，才能確保相關(guān)信息安全保護(hù)措施有效執(zhí)行，才能真正發(fā)揮信息安全體系的作用。

需要注意的事，在信息安全體系建立前，必須建立信息安全組織機(jī)構(gòu)，這個(gè)機(jī)構(gòu)的設(shè)置必須強(qiáng)調(diào)三個(gè)層級。

一是信息安全決策機(jī)構(gòu)。決策機(jī)構(gòu)應(yīng)處于安全組織機(jī)構(gòu)的第一個(gè)層級，是一個(gè)項(xiàng)目、一個(gè)單位信息安全管理工作的最高機(jī)構(gòu)，對信息安全規(guī)劃、策略和建設(shè)方案進(jìn)行審批，并為信息安全工作提供各類資源。

二是信息安全管理機(jī)構(gòu)。管理機(jī)構(gòu)處于安全組織機(jī)構(gòu)的第二個(gè)層級，在決策機(jī)構(gòu)的領(lǐng)導(dǎo)下，負(fù)責(zé)信息安全項(xiàng)目的日常管理、監(jiān)督等工作。

三是信息安全執(zhí)行機(jī)構(gòu)。在管理機(jī)構(gòu)的領(lǐng)導(dǎo)下，負(fù)責(zé)保證信息安全技術(shù)體系的有效運(yùn)行及日常維護(hù)，通過具體技術(shù)手段落實(shí)安全策略，消除安全風(fēng)險(xiǎn)以及發(fā)生安全事件后的具體響應(yīng)和處理。

信息安全是工業(yè)互聯(lián)網(wǎng)建設(shè)的基礎(chǔ)，更是數(shù)字化轉(zhuǎn)型的第一道“屏障”。在重視信息安全工作的同時(shí)，更要注重完整科學(xué)的邏輯體系，建立一套行之有效的建設(shè)方案，確保形成良好有序的發(fā)展生態(tài)。