发布日期:2022-10-29 浏览次数:次
随着信息技术不断发展,信息系统已经成为一种不可缺少的信息交换工具,企业对于信息资源的依赖程度也越来越大。然而,由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性等特点,再加上本身存在技术弱点和人为的疏忽,导致信息系统容易受到计算机病毒、黑客或恶意软件的入侵,致使信息被破坏或窃取,使得信息系统比传统的实物资产显得更加脆弱。
在这种大环境下,企业必须加强信息安全管理能力。但企业不单面临着信息安全方面问题,同时还面临经营合规方面的问题、系统可用性问题以及业务可持续问题等越来越多的问题。因此,要求我们探索建立一套完善的体系,来有效地保障信息系统的全面安全。
通过建立,我们对信息安全事件及风险有了较为清楚的认识,同时掌握了一些规避和处理信息安全风险的方法,更重要的是我们重新梳理了组织内信息安全体系范围,明确了信息安全系统中人员相关职责,对维护范围内的各信息系统进行了全面的风险评估,并且通过风险评估涉及的内容确定了具体的控制目标和控制方式,引入了持续改进的戴明环管理思想,保证了体系运转的有效性。具体效果如下:
(1)制定了信息安全方针和多层次的安全策略,为各项信息安全管理活动提供指引和支持。
(2)通过信息风险评估挖掘了组织真实的信息安全需求。加强了人员安全意识,建立了以预防为主的信息安全理念。
(3)根据信息安全发展趋势,建立了动态管理和持续改进的思想。