上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人
1.2 信息安全管理
信息安全问题出现的初期,人们主要依靠信息安全的技术和产品解决信息安全问题。技术和产品的应用,一定程度上解决了部分信息安全问题。但是仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,如防病毒、防火墙、入侵检测、隐患扫描等,仍然无法避免一些安全事件的发生。对于组织中人员信息的安全问题,信息安全成本和效益的平衡问题,信息安全目标、业务连续性、信息安全相关法规符合性等问题,依靠产品和技术是解决不了的。据有关部门统计,所有的计算机安全事件中,约有 52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成的。简单归类,属于管理方面的原因比重高达70%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免的。因此,管理已成为信息安全保障能力的重要基础,管理在解决信息安全问题中占重要作用。只有将有效的安全管理从始至终贯彻落实于安全建设的各个方面,信息安全的有效性和长期性才能有所保障。
信息安全管理是通过维护信息的保密性、完整性和可用性等来管理和保护信息资产的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程。
信息安全管理是信息安全保障体系建设的重要组成部分,对于保护信息资产、降低信息系统安全风险、指导信息安全体系建设具有重要作用。
信息安全管理涉及信息安全的各个方面,包括制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、对人员进行安全意识培训等一系列工作。