明確信息安全建設目標 有的放矢

信息作為一種資源，它的普遍性、共享性、增值性、可處理性和多效用性，使其對于人類具有特別重要的意義。信息安全的實質就是要保護信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。根據國際標準化組織的定義，信息安全性的含義主要是指信息的完整性、可用性、保密性和可靠性。

在前面的文章中我們講到信息安全建設的思想，本期主要介紹信息安全建設的方法，本文就信息安全建設目標做簡單表述，希望能給大家帶來幫助。

企業在進行信息安全建設時，應從企業整體IT規劃的角度出發，將信息安全工作納入IT部門一項重要的工作去從整體上進行把握。建立信息安全方針，確定信息安全策略，構建信息安全管理體系、技術體系和運維體系，并在實際工作中不斷完善。如圖1信息安全體系規劃圖所示。

信息安全體系規劃圖

信息系統安全是一個動態發展的過程，過去依靠技術就可以解決的大部分安全問題，但是現在僅僅依賴于安全產品的堆積來應對迅速發展變化的各種***手段是不能持續有效的。信息安全建設是一項復雜的系統工程，要從觀念上進行轉變，要在安全產品的支持下建設全方位的安全策略，使之成為一個可持續的動態發展的有安全保障的漸進過程。因此，目前在安全設備有一定規模的情況下，規范管理就成為了信息安全規劃需要關注的核心內容，在信息安全規劃中一定要將規范管理的規劃放在首位。規范管理包括風險管理、安全策略、規章制度和安全教育，這幾個組件是信息安全規劃的重要內容。信息安全規劃需要有規劃的依據，這個依據就是組織的信息化戰略規劃，同時更需要有組織與人員結構的合理布局來保證，沒有合適的人員配合工作任何事情都是不可能完成的，因此在安全規劃中必須重視對組織結構建立和進行人員合理調配這個關鍵環節。

信息安全的建設目標，可以用“一個目標、兩種手段、三個體系”進行概括。

一個目標。信息安全的建設目標是：基于安全基礎設施、以安全策略為指導，提供全面的安全服務內容，覆蓋從物理、網絡、系統、直至數據和應用平臺各個層面，以及保護、檢測、響應、恢復等各個環節，構建全面、完整、高效的信息安全體系，從而提高組織信息系統的整體安全等級，為組織的業務發展提供堅實的信息安全保障。

兩種手段。信息安全建設應該包括安全技術與安全管理兩種手段。其中安全技術手段是安全保障的基礎，安全管理手段是安全技術手段真正發揮效益的關鍵，管理措施的正確實施同時需要有技術手段來監管和驗證，兩者相輔相成，缺一不可。

三個體系。信息安全建設最終形成3個主要體系，具體包括安全技術管控體系、安全組織管理管控體系、運營保障管控體系。

以上是山東省軟件評測中心多年工作總結，不足之處，還望專家學者拍磚指正。