雷博士在《企业观察报》企业信息安全系列三

       传统的信息安全建设方法大都从单个系统出发，很少考虑整个组织的全局信息安全。但实际工作应该从组织整体出发，整体考虑所有系统，引入安全体系设计方法，合理搭建企业信息安全的框架。

　　企业信息安全是以建立企业信息化空间可信环境与秩序作为发展目标的，不仅要保障数据与系统安全，还要对基于参与者主题的“行为与内容”进行资源管理、认证及监控。因此，企业信息安全的重要任务是通过把企业内外部相互孤立的信息安全资源集中、整合起来，在一个安全框架内构成专门的管理、监管、认证和控制功能或职能，行成一个信息安全体系。

　　企业信息安全框架要考虑企业的多样性。企业类型的多样性决定了他们信息安全建设的重点和关注点也有所不同。企业根据生产方式不同至少可以分为三大类型：制造型企业、流通型企业、服务型企业。以制造型企业为例，企业信息化以生产制造业务为核心，信息安全的主要关注点是生产流程的可靠性与设计生产的一致性。因此，用一套框架或系统服务于所有行业、不同规模的企业是不科学也是不现实的。但是我们可以提出基本的核心要素及结构供不同企业参考。

　　企业信息安全管理体系框架的基本要素分为：安全管理、安全运维、安全技术建设。

　　安全管理体系采用“设计、实施、检查、改进”过程模式监理企业的信息安全管理体系。这四个步骤成为一个闭环，通过环的不断运转使信息安全管理体系得到持续改进，使信息安全绩效螺旋上升。对应这四个步骤，企业信息安全管理视图可以包括以下流程：合规管理、信息安全管理、信息安全策略管理、风险评估管理。

　　安全运维体系在企业信息安全框架中是信息安全的系统功能视图，是企业信息安全目标的系统化分解、系统化运行的核心视图。在安全策略的指导下，安全组织利用安全技术来达成安全保护目标的过程。企业安全运维主要包括安全监控、事件响应、事件审计、外包服务等流程。

　　技术体系更多是解决安全风险点的问题，也就是我们常说的就事论事：有病毒就杀病毒、有漏洞就补漏洞等。但是，信息分散在一系列工作流程的各个环节中，因此需要对各项日常运行工作流程进行安全控制，也就是从信息的生命周期进行流程控制，即在信息的创建、使用、存储、传递、更改、销毁等各个阶段进行安全控制。

　　安全技术主要包括物理安全、基础架构安全、身份安全、数据安全和应用安全的技术机制和技术管理等流程。采用哪些安全技术，市场上有哪些工具可以使用，是企业信息安全管理者关心的问题。一般来说，可以按照从上到下信息所流经的设备来部署工具，即从数据安全、终端安全、应用安全、主机安全、网络安全、物理安全六个方面来选择不同的安全工具。由于信息安全工具繁多，要按照“适度防御”的原则，综合采用各种安全工具进行组合，形成企业“适用的”安全技术防线。最后，需要一到两种提供综合管理的工具来帮助把所有的安全监控工具进行统一管控。