2）機(jī)構(gòu)和人員

建立信息安全管理體系，需要建全安全管理機(jī)構(gòu)，配置不同層次和類型的安全管理人員，明確各層各類安全管理機(jī)構(gòu)和人員的職責(zé)與分工，建立人員錄用、離崗、考核和審查制度，定期對信息系統(tǒng)相關(guān)工作人員進(jìn)行教育和培訓(xùn)，制定第三方人員管理要求。

3）風(fēng)險管理

信息安全的實(shí)質(zhì)是通過對信息系統(tǒng)分析，了解所存在的安全風(fēng)險，通過相應(yīng)的安全技術(shù)和措施，將安全風(fēng)險降低到可接受的程度。風(fēng)險管理包括威脅管理和脆弱性管理。進(jìn)行風(fēng)險評估，分析資產(chǎn)價值/重要性，分析信息系統(tǒng)面臨的威脅及信息系統(tǒng)的脆弱性，進(jìn)而了解系統(tǒng)存在的風(fēng)險，采取相應(yīng)的安全措施避免風(fēng)險的發(fā)生。要定期進(jìn)行風(fēng)險評估，并確定安全對策。

 4）環(huán)境和資源管理

需要對機(jī)房、辦公環(huán)境、資產(chǎn)、介質(zhì)和設(shè)備進(jìn)行管理，保障其安全可靠、穩(wěn)定運(yùn)行。如機(jī)房要防水、防火、防潮、防靜電、防雷擊、防磁等；設(shè)備、介質(zhì)、資產(chǎn)要防盜、防毀，確保其安全可用。對資產(chǎn)的增加、減少和轉(zhuǎn)移要進(jìn)行記錄。

5）運(yùn)行和維護(hù)管理

運(yùn)行和維護(hù)涉及的內(nèi)容較多，包括系統(tǒng)用戶管理，終端系統(tǒng)、服務(wù)器、設(shè)備管理，運(yùn)行狀況監(jiān)控，軟硬件維護(hù)，外包服務(wù)管理等。還包括對采用的各種技術(shù)手段進(jìn)行管理，對安全機(jī)制和安全信息進(jìn)行集中管理和整合。

6）業(yè)務(wù)連續(xù)性管理

對數(shù)據(jù)備份的內(nèi)容和周期進(jìn)行管理，對介質(zhì)、系統(tǒng)和設(shè)備進(jìn)行冗余備份，制定應(yīng)急響應(yīng)機(jī)制和預(yù)案，在災(zāi)難發(fā)生時能夠進(jìn)行應(yīng)急處理和災(zāi)難恢復(fù)，保障業(yè)務(wù)的連續(xù)性。

7）監(jiān)督和檢查管理

對系統(tǒng)進(jìn)行審計、監(jiān)管、檢查。對建立的規(guī)章制度，定期進(jìn)行監(jiān)督和檢查，確保制度落到實(shí)處。同時，需要結(jié)合審計，對安全事件進(jìn)行記錄，對違規(guī)操作進(jìn)行報告，按照審計結(jié)果進(jìn)行責(zé)任認(rèn)定，并據(jù)此對機(jī)構(gòu)和員工進(jìn)行獎懲。

8）生命周期管理

建立信息系統(tǒng)安全管理體系，還要對應(yīng)用系統(tǒng)的整個生命周期進(jìn)行全過程管理。確保開發(fā)的應(yīng)用系統(tǒng)符合安全要求。應(yīng)用系統(tǒng)的生命周期可以劃分為規(guī)劃組織階段、開發(fā)采購階段、實(shí)施交付階段、運(yùn)行維護(hù)階段、變更和反饋階段和廢棄階段。在每一個階段中，信息安全管理貫穿始終。我們認(rèn)為，如果能夠在每個階段進(jìn)行類似于等級保護(hù)制度的備案，可以為系統(tǒng)的成功開發(fā)提供一定的監(jiān)督和指導(dǎo)作用。

在規(guī)劃組織階段，需要在應(yīng)用系統(tǒng)建設(shè)和使用的決策中考慮應(yīng)用系統(tǒng)的風(fēng)險及策略；在開發(fā)采購階段，需要基于系統(tǒng)需求和風(fēng)險、策略將信息安全作為一個整體進(jìn)行系統(tǒng)體系的設(shè)計和建設(shè)，并對建設(shè)的系統(tǒng)進(jìn)行評估，以確保符合國家相關(guān)要求，如等級保護(hù)的要求；在實(shí)施交付階段，需要對承建方進(jìn)行安全服務(wù)資格要求和信息安全專業(yè)人員資格要求，以確保施工組織的服務(wù)能力，確保交付系統(tǒng)的安全性；在運(yùn)行維護(hù)階段，需要對信息系統(tǒng)的管理、運(yùn)行維護(hù)、使用人員等進(jìn)行管理，保障系統(tǒng)安全正常運(yùn)行；在變更和反饋階段需要對外界提出的新的安全需求進(jìn)行反饋，變更要求或增強(qiáng)原有的要求，重新進(jìn)入信息系統(tǒng)的規(guī)劃階段；若信息系統(tǒng)無法滿足已有的業(yè)務(wù)需求或安全需求，系統(tǒng)進(jìn)人廢棄階段。

4信息安全的建設(shè)過程

信息安全建設(shè)可以從宏觀和微觀兩方面來考慮。如圖1：

從宏觀上，包括風(fēng)險評估與等級保護(hù)、災(zāi)難備份和應(yīng)急響應(yīng)機(jī)制的建設(shè)。我國著名信息安全專家方濱興院士指出“風(fēng)險評估和等級保護(hù)，兩者相輔相成，需要一體化考慮。因?yàn)轱L(fēng)險評估是出發(fā)點(diǎn)，等級劃分是判斷點(diǎn)，安全控制是落腳點(diǎn)，所以風(fēng)險評估和等級保護(hù)這兩件事兒是相輔相成的，只有知道了系統(tǒng)的脆弱性有多大，等級保護(hù)才能跟上去”。災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有的關(guān)鍵數(shù)據(jù)和關(guān)鍵業(yè)務(wù)在災(zāi)難發(fā)生后在確定的時間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)營的過程。應(yīng)急響應(yīng)機(jī)制用于確保在緊急事件發(fā)生時，能夠盡快響應(yīng)，將系統(tǒng)損失降低到最小。在平時，還需要進(jìn)行安全演練或演習(xí)，模擬可能發(fā)生的安全事故，開展應(yīng)急響應(yīng)。

從微觀上，進(jìn)行信息安全建設(shè)主要包括以下幾個步驟：

（1）制定安全策略。根據(jù)單位具體情況，依據(jù)風(fēng)險評估的結(jié)果和等級保護(hù)要求，確定具體安全需求，制定安全策略。如：環(huán)境安全策略、數(shù)據(jù)訪問控制安全策略、數(shù)據(jù)加密與數(shù)據(jù)備份策略、身份認(rèn)證及授權(quán)策略、災(zāi)難恢復(fù)及事故處理策略、緊急響應(yīng)策略、安全教育策略、審計策略等。安全策略對于整個系統(tǒng)安全方面的設(shè)計，安全制度的制定，安全相關(guān)功能的開發(fā)等都有著重要的指導(dǎo)意義。

（2）根據(jù)安全策略，確定安全機(jī)制。安全策略通過安全機(jī)制來保障和實(shí)施。安全機(jī)制是實(shí)施安全策略的技術(shù)、制度和標(biāo)準(zhǔn)。比如，我們制定了一項(xiàng)安全策略：“所有的通訊都必須經(jīng)過加密”。為了保障這個策略的實(shí)施，我們需要確定采取何種技術(shù)來實(shí)現(xiàn)，比如我們可以依據(jù)此條策略確定所需要使用的技術(shù)：“所有的通訊都必須采用3DES（一種加密方案）進(jìn)行加密”。

（3）制定業(yè)務(wù)流程。在安全機(jī)制的實(shí)施過程中，具體操作必須按照規(guī)定的流程進(jìn)行才能夠確保不發(fā)生違反安全策略的事件。制定業(yè)務(wù)流程可以使操作過程更加清晰。

（4）設(shè)計表單。將所有的操作細(xì)節(jié)落實(shí)到表單上，對操作的結(jié)果進(jìn)行記錄。

下面以機(jī)房巡檢為例，對信息安全建設(shè)過程進(jìn)行說明。

在機(jī)房管理方面，首先根據(jù)單位具體要求，確定必須定期進(jìn)行安全巡檢（安全策略）；然后需要制定安全巡檢規(guī)則、巡檢內(nèi)容等（安全機(jī)制）；接著確定巡檢步驟，巡檢具體內(nèi)容（業(yè)務(wù)流程）；最后確定每次巡檢時需要記錄的巡檢結(jié)果（表單）。如圖2所示。

5結(jié)束語

信息安全是信息化建設(shè)中的重要一環(huán)，對于保證信息化建設(shè)的成功起著非常重要的作用。本文結(jié)合筆者的實(shí)際工作經(jīng)驗(yàn)，對信息安全在信息化建設(shè)中的地位，信息安全所涉及到的范圍以及信息安全的建設(shè)過程進(jìn)行了闡述，希望可以為信息化建設(shè)過程中信息安全工作提供一定的指導(dǎo)。

wangliang