文档介绍:信息安全策略研究
The Research on Information Security Policy
山东科飞管理咨询公司  吴昌伦王毅刚
关键字:信息安全信息管理信息安全管理信息安全策略
摘要:在当前形势下对组织信息安全策略的必要性、开发和贯彻实施做了有益探讨,提供了一个成文的《Email安全策略》,并对信息安全策略的优劣评价考虑的因素提供了参考。
 
随着社会信息化的深入和竞争的日益激烈,信息对组织的运作和发展所起到的作用越来越大,信息安全问题备受关注。目前关于信息安全的理论研究、方法研究和实践研究都取得可喜的成就,其中两个观点被本文所接受,作为本文所讨论问题的基点。一个是信息安全问题不仅仅是保密问题,信息安全(Information security)是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持,其终极目标是降低组织的业务风险,保持可持续发展;另一个观点是,信息安全问题不单纯是技术问题,它是涉及很多方面(历史、文化、道德、法律、管理、技术等)的一个综合性问题,单纯从技术角度考虑是不可能得到很好解决的。
我们在这里讨论的组织是指在既定法律环境下的盈利组织和非盈利组织,其规模和性质不足以直接改变所在国家或地区的信息安全法律法规。作为这样一个组织实体,如何确定自己的对策来解决信息安全这个复杂的课题呢?
一、           组织应该有一个完整的信息安全策略
信息安全策略(Information Security Policies)也叫信息安全方针,是组织对信息和信息处理设施进行管理、保护和分配的原则,它告诉组织成员在日常的工作中什么是可以做的,什么是必须做的,什么是不能做的,哪里是安全区,哪里是敏感区,就像交通规则之于车辆和行人,信息安全策略是有关信息安全的行为规范。
如果问什么是一个好的安全策略,不是很好回答,但是可以肯定的说没有一个统一一致的信息安全策略是最差的策略。如果组织中没有关于信息安全问题的一个策略,组织的成员在使用信息或者处理信息安全问题时候缺乏正面的引导,很容易造成信息的滥用,也容易被用心不良的人钻空子,我们可以通过下面一个例子来理解这种情况。
某建筑设计院在所在城市小有名气,共有工作人员二十五人,每人一台计算机,Windows 98对等网络通过一台集线器连接起来,公司没有专门的IT管理员。公司办公室都在二楼,同一楼房内还有多家公司,在一楼入口处赵大爷负责外来人员的登记,但是他经常分辨不清楚是不是外来人员。设计院由市内一家保洁公司负责楼道和办公室的清洁工作。总经理陈博士是位老设计师,访问一些设计方面的信息,他的计算机上还安装了代理软件,。如果该设计院的信息安全管理停留在一种放任的状态,会发生什么问题呢?下列情况都是有可能的:
l         小偷顺着一楼的防护栏潜入办公室偷走了……
l         保洁公司人员不小心弄脏了准备发给客户的设计方案;错把掉在地上的合同稿当废纸收走了;不小心碰掉了墙角的电源插销……
l         某设计师张先生是公司的骨干,他嫌公司提供的设计软件版本太旧,自己安装了盗版的新版本设计程序。尽管这个盗版程序使用一段时间就会发生莫名其妙的错误导致程序关闭,可是张先生还是喜欢新版