8.2  企業(yè)信息安全體系

8. 2.1  信息安全體系架構

不同的企業(yè)對信息安全的需求不同，構建企業(yè)切實可行的信息安全體系，實質上是實施一個復雜的系統(tǒng)工程，既不能照抄照搬其他企業(yè)的模式，也不能簡單地堆砌各種安全產品，而要考慮兼顧諸多因素：

一要充分認知企業(yè)信息安全現(xiàn)實和未來發(fā)展趨勢，兼顧企業(yè)內外部物理環(huán)境、系統(tǒng)本身的特征、人文因素，因勢利導，對癥下藥；二要管理手段和技術措施并重，管理作指導，技術作保障；三要兼治外部攻擊和內部缺陷，防外與防內相結合；四要系統(tǒng)加固與反攻擊同步，在加強外部防范的同時，要加強信息系統(tǒng)本身的安全措施；五要安全性與易用性適衡，信息系統(tǒng)只有有效使用才能充分發(fā)揮作用，不能因噎廢食，過分追求安全，嚴重影響系統(tǒng)的應用性能；六要考慮安全投入與信息系統(tǒng)價值相匹配，企業(yè)一方面要節(jié)約成本，另一方面要把安全風險降低到可以接受的程度。

充分考慮和權衡上述因素，才有可能建立適合企業(yè)自身的信息安全體系。

企業(yè)信息安全體系的設計，要完整地包括信息安全策略、信息安全組織、信息安全技術和信息安全建設與運行四部分內容，具體是：

建立企業(yè)信息安全策略框架，制定信息資產和信息系統(tǒng)的分級規(guī)范和相應的安全保護標準，制定完善的信息安全策略、安全管理制度、安全技術規(guī)范、操作流程、操作規(guī)范，形成完整的策略體系，并建立策略體系動態(tài)維護機制。