[信息安全管理论文.docxVIP

课程名称：信息安全概论任课老师：陈兵班级：1611202学号：161120217姓名：金杯关于信息安全管理的几点思考摘要：科学的发展已经使人类社会进入信息化社会，信息安全问题越来越突出，保障信息的安权需要合理的信息安全管理技术，我国信息安全管理的发展存在国家和组织层面的问题，本文针对此提出了一些建议，并对信息安全管理的未来作了一些展望。关键字：信息安全、信息安全管理、我国、问题、建议、展望。一、信息安全管理问题的突出长期以来，人们保障信息安全的手段偏重于技术，从早期的加密技术、数据备份、病毒防护到近期网络环境下的防火墙、入侵检测和身份认证等。但事实上，“力拓间谍案”、“中国人寿80万客户信息泄露案”等一系列信息安全问题的出现，使人们认识到仅仅依靠技术和产品保障信息安全的愿望却难尽如人意，很多复杂、多变的安全威胁和隐患仅靠产品是无法消除的。对实际发生的信息安全事件的统计也凸现了信息安全管理因素的重要性。据有关部门统计，在所有的计算机安全事件中，约有52%是人为因素造成的，25%是由火灾、水灾等自然灾害引起的，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员攻击造成的。简单归类，属于管理方面的原因比重高达70%以上，而这些安全问题中的95%是可以通过科学的信息安全管理来避免地。因此，人们在信息安全领域总结出了“三分技术，七分管理”的实践经验和原则。二、信息安全管理主要面临的问题信息安全管理是指把分散的信息安全技术因素和人的因素，通过策略、规则协调整合成为一体，服务于信息安全的目标。根据管理主、管理对象等要素的不同，信息安全管理分为两个层次：一种是国家层次的信息安全管理；另一种则是组织层面的信息安全管理。（1）我国在国家层次宏观信息安全方面主要有以下问题1.法律法规问题我国已建立了法律、行政法规与部门规章及规范性文件等四个层面的有关信息安全的法律法规体系，对组织与个人的信息安全行为提出了安全要求。但是我国的法律法规体系还存在缺陷：一是现有的法律法规存在不完善的地方，法律法规之间有内容重复交叉，同一行为有多个行政处罚主体，有的规章与行政法规相互抵触，处罚幅度不一致；二是法律法规建设跟不上信息技术发展的需要，这主要涉及网络规划与建设、网络管理与经营、网络安全、数据的法律保护、电子资金划转的法律认证、计算机犯罪与刑事立法、计算机证据的法律效力等方面的法律法规缺乏。2.管理问题管理包括三个层次的内容：组织建设、制度建设和人员意识。信息安全的管理包括安全规划、风险管理、应急计划、安全教育培训、安全系统的评估、安全认证等多方面的内容，只靠一个机构是无法解决这些问题的。在各信息安全管理机构之间，要有明确的分工，建立切实可行的规章制度，如对人的管理，需要解决多人负责、责任到人的问题，任期有限的问题，职责分离的问题，最小权限的问题等。有了组织机构和相应的制度，还需要领导的高度重视和群防群治。。3.国家信息基础设施建设问题《国家信息安全报告》指出：我国计算机硬件、通信设备制造业的基础集成芯片，主要依赖进口，系统软件、支撑软件基本上是国外产品。在这种形势下，我们必须清醒地承认一个基本事实：目前构成我国信息基础设施的网络、硬件、软件等产品几乎完全是建立在外国的核心信息技术之上的。4.信息安全管理缺乏科学、全面的规划没有在IT系统建设过程中充分考虑信息安全的科学规划，导致后期信息安全建设和管理工作比较被动，同时业务的发展及IT的建设与信息安全管理建设不对称。5.管理混乱、缺乏国家层面的整体策略实际管理力度不够，政策的执行和监督力度不够。部分规定过分强调部门的自身特点，而忽略了在国际政治经济的大环境下体现中国的特色。部分规定没有准确地区分技术、管理和法制之间的关系，以管代法，用行政管技术的做法仍较普遍，造成制度的可操作性较差。6.国家标准的制定我国自己制定的信息安全管理标准太少，大多沿用国际标准。在标准的实施过程中，缺乏必要的国家监督管理机制和法律保护，致使有标准企业或用户可以不执行，而执行过程中出现的问题得不到及时、妥善的解决。（二）我国在微观信息安全管理方面存在的问题主要变现为以下几点1.缺乏信息安全意识与明确的信息安全方针大多数组织的最高管理层对信息资产所面临威胁的严重认识不足，或者仅局限于IT方面的安全，没有形成一个合理的信息安全方针来指导组织的信息安全管理工作，主要表现为缺乏完整的信息安全管理制度，据ITGov专家观察，对业务部门人员进行必要的安全法律法规和规范安全风险的教育与培训在很多组织没有开展，即使是信息化比较先进的银行业、电信业也是如此，同时现有的安全规章组织未必能严格实施等。2.重视安全技术，轻视安全管理目前组织普遍采用现代通信、计算机和网络技术来构建信息系统，以提高组织效率与竞争能力，但相应的管理措施不到位，如病毒