我国信息安全管理的现状、问题及对策

我国信息安全管理的现状、问题及对策

信息安全是国家安全的基础和关键。在信息安全三要素(人员、技术和管理)中,管理要素的地位和作用越来越受到重视。理解并重视管理在信息安全中的关键作用,对于实现信息安全的目标尤为重要。本文分析了信息安全管理的现状,并重点探讨了加强信息安全管理的策略。

关键词:信息安全;管理;现状;策略

信息安全管理是随着信息和信息安全的发展而发展的。在信息社会,一方面,信息成为人类的重要资产,在政治、经济、军事、教育、科技、生活等方面发挥着重要作用。另一方面,计算机技术的飞速发展带来的信息安全问题日益突出。由于信息容易传播、扩散和被破坏,信息资产比传统的实物资产更脆弱,更容易受到破坏,这将使组织在业务运营过程中面临很大的风险。这种风险主要来源于组织管理、信息系统和信息基础设施的内在薄弱环节和漏洞,以及组织内外存在的大量威胁。因此,信息安全管理应运而生,对信息系统进行严格的管理和适当的保护。

1,国内信息安全管理现状

1.1在国家宏观信息安全管理中的问题

(1)法律法规问题。完善的信息安全法律法规体系是保障国家信息安全的基础和第一道防线。我国建立了法律、行政法规、部门规章和规范性文件三个层次的信息安全法律法规体系,对组织和个人的信息安全行为提出了安全要求。但是,我国的法律法规体系还存在一些缺陷。一是现有法律法规存在不完善之处,如法律法规之间内容交叉,同一行为的行政处罚主体多,部分规章与行政法规相互抵触,处罚幅度不尽相同。6?8一致;二是法规建设跟不上信息技术的发展,主要涉及网络规划建设、网络管理运营、网络安全、数据的法律保护、电子资金转账的法律认证、计算机犯罪、刑事立法、计算机证据的法律效力等方面的法规缺失。

(2)管理问题。管理包括组织建设、制度建设、人员意识三个层面。组织建设是指信息安全管理机构的建设。信息安全的管理包括安全规划、风险管理、应急预案、安全教育培训、安全体系评估、安全认证等诸多方面,仅靠一个机构是无法解决这些问题的。信息安全管理机构之间要有明确的分工,避免出现“多策”和“拉政策”的现象。需要建立切实可行的规章制度,即进行制度建设,保障信息安全。比如对人的管理,需要解决多人责任、责任从孩子到人、任期有限、责任分离、最低权限等问题。有了组织和相应的制度,领导需要高度重视群防群治,也就是要加强人员的安全意识,这就需要信息安全意识的教育和培训,高度重视信息安全问题。

(3)国家信息基础设施建设。目前,构成中国信息基础设施的网络、硬件、软件等产品几乎全部基于国外的核心信息技术。国家信息基础设施存在的问题引起了国家的高度重视。例如,“十五”期间,国家863计划和科技攻关的重要项目包括“信息安全与电子政务”和“金融信息化”。2002年6月5438+10月1日生效的《电信业务经营许可证管理办法》明确要求,电信产品软件厂商不得在其软件中预留“后门”,国外供应商不得远程登录中国电信运营商的操作系统,高级管理系统应使用国内可靠机构开发的软件产品。

1.2我国微信息安全管理存在的主要问题如下。

(1)缺乏信息安全意识和明确的信息安全政策。大多数组织的最高管理层没有充分意识到信息资产所面临威胁的严重性,或者局限于IT安全,没有形成合理的信息安全政策来指导组织的信息安全管理,表现为缺乏完整的信息安全管理体系,缺乏必要的安全法律法规和对员工进行防范安全风险的教育培训,现有的安全规定可能得不到严格执行。

(2)重视安全技术,轻视安全管理。目前,组织普遍利用现代通信、计算机和网络技术建设信息系统,以提高组织效率和竞争力,但相应的管理措施不到位,如系统运行、维护和开发中的岗位不明确,一人兼任多个岗位的现象。

(3)安全管理缺乏系统化管理的理念。大多数组织现有的安全管理模式仍然是传统的管理方法,而且是就事论事的、静态的管理,而不是基于安全风险评估的动态的、持续改进的管理方法。

2.国外信息安全管理现状

近年来国际信息安全管理的发展主要包括以下几个方面。

(1)制定信息安全发展战略和规划。制定发展战略和规划是发达国家的一贯做法。美国、俄罗斯和日本都已经或正在制定自己的信息安全发展战略和计划,以确保信息安全朝着正确的方向发展。

(2)加强信息安全立法,实现统一规范管理。以法律的形式规定和规范信息安全工作,是有效落实安全措施的最有力保障。制定网络信息安全规则的先行者是各大门户网站,美国雅虎、AOL等网站在实践中形成了自己的信息安全管理办法。1O年6月5日,美国参议院通过了《互联网网络完整性和关键设备保护法案》。2000年9月,俄罗斯实施《网络信息安全法》。

(3)步入规范化、系统化管理时代。随着20世纪80年代IS09000质量管理标准的出现及其随后在世界范围内的推广应用,系统管理的思想也被其他管理领域借鉴和采用,信息安全管理也在90年代进入了标准化和系统化管理时代。1995年,英国率先推出了BS7799信息安全管理标准,该标准于2000年被国际标准化组织认定为国际标准ISO/IEC 17799。现在这个标准已经引起了许多国家和地区的重视,并在一些国家得到了推广和应用。组织实施该标准可以全面系统地管理信息安全风险,从而实现组织信息安全。与此同时,其他国家和组织也提出了许多与信息安全管理相关的标准。

3.加强信息安全管理的策略

随着国民经济和社会信息化进程的全面加快,信息安全管理面临着越来越严峻的形势和挑战。总体上看,目前我国信息安全管理仍处于起步阶段,基础薄弱,水平较低,亟待解决的问题很多。我们应该从全球的角度加强信息安全的组织和管理。

(1)建立集中统一、分工协作的信息安全管理机制。信息安全的关键在于组织和领导。要从根本上加强我国信息安全工作,必须建立全国集中统一、分工协作的信息安全管理机制。首先,国家应建立一个能够协调和维护各种安全利益的综合性职能机构,并设立一个具有高度权威性的国家信息安全委员会作为国务院信息化领导小组的常设机构,以改变目前在维护国家信息安全方面部门分散、职责不清、多头管理、协调性差、政策多的局面;二是各职能部门要形成分工明确、责任落实、相互衔接、有机配合的组织管理体系,按照“谁主管、谁负责”的原则履行信息安全管理职责;第三,尽快建立较为完善的省市两级信息安全领导管理体系,积极调动各种资源积极配合和协调信息安全工作,形成纵向和横向的信息安全协调和信息共享机制;第四,充分调动政府、企业和个人的积极性,实现有机联动,形成合力,共同建设国家信息安全体系;五是健全完善信息安全责任制,要求各部门各单位明确信息安全工作负责人,配备相应的信息安全员,真正把信息安全责任落实到人。

(2)加强信息安全法制建设,为信息安全管理提供执法依据。作为信息安全体系的重要组成部分,相关法律法规和标准体系的建设势在必行。下一步,要努力建立和完善信息安全法律法规体系;同时,要重视和加强信息安全执法队伍建设;各信息安全职能部门的执法活动必须严格按照法律规定的权限和程序进行,正确行使职权、履行职责,保护企业和公民的合法权益,打击网络犯罪;各相关主管部门和运营单位要积极支持执法机关的工作,履行应尽的义务;社会组织、企业和个人应当自觉履行法律规定的信息安全责任和义务,依法在信息网络环境中开展活动。

(3)采取有效措施,积极推进信息安全等级保护工作的顺利开展。实施信息安全等级保护是国家解决信息安全保护问题的基本政策。信息安全等级保护是对信息系统社会价值和经济价值保护的客观要求,即根据信息的敏感性和重要性、系统应用的性质和严格价值以及部门的重要性,采取科学合理的保护措施;关系国计民生的国家关键信息基础设施要分层次保护;适当的保护,合理的花费,避免盲目性和浪费。实施信息安全等级保护,国家必须从全局战略角度考虑,抓住关键环节,建立长效保护机制。目前,信息安全等级保护试点工作已经积累了一些经验。为促进信息安全等级保护的伞式发展,应重点做好以下几个方面的工作:明确信息系统等级保护中各方的责任;制定各种信息安全等级保护管理制度;制定和完善信息安全等级保护的管理规范和技术标准体系;依托社会和技术力量,建立技术支撑体系;信息安全等级保护备案、检测和评估的信息系统和技术研发

工具;加强宣传,培训等等。

(4)努力探索和建立新形势下的信息网络犯罪预防和打击体系。近年来,中国在打击网络犯罪方面做了大量工作,取得了很大成效。但是,随着信息技术的不断发展,网络犯罪的形式更加多样化,技术手段更加先进,这就要求我们不断建立和完善以执法部门为主体,动员全社会力量的信息网络犯罪防范和打击体系。运用网络技术建立系统、完整、有机衔接的行政执法和刑事执法体系,预防、控制、查处信息网络犯罪,提高预防、控制、查处和打击信息网络犯罪的能力。要重点做好以下四个方面的工作:一是全社会的防控机制。二是统一指挥、快速反应的侦查机制。三是相关部门和单位的支持合作机制。四是公检法三机关的协调配合机制。