当前IT已成为企业业务发展和管理不可或缺的组成部分，其作用与影响力已从单一的业务部门扩散到企业与组织的每一个领域。在IT系统给公司能够带来活力、利润和竞争力的同时，也给企业增加了风险。因此如何充分的利用IT系统获得企业价值的大化，并且大限度地降低利用IT技术而带来的风险，成为每个企业都必须要真接面对的问题。本文从企业信息安全的需求为出发点，构建以管理、技术和人员三者有机结合的立体的企业信息安全管理体系，终实现企业安全建设的终目标。

  从企业的内部分析，搭建一套完整的安全架构首先要做的就是根据公司可承受的风险水平编写企业安全准则规范。编写企业的安全规范首先要遵循BS 7799-2信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求做运作，保持体系运作的有效性;信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。

  BS 7799-2：2002所采用的过程模式如：“计划-实施-检查-措施”四个步骤，可简单描述如下：

  计划：依照组织整个方针和目标，建立与控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。

  以上四个步骤成为一个闭环，通过这一个环的不断运转，使信息安全管理体系得到持续改进，使信息安全绩效（Performance）螺旋上升。

  根据BS 7799-2信息安全管理体系的标准，不同的企业对信息的安全需求不同，因此每个企业都要制定切实可行的信息安全架构，不是照搬照抄别的企业的模式，或是把各种安全产品做堆砌，说到底企业的信息安全问题不只是技术上的问题，它是一个极其复杂的系统工程。要实施一个完整信息安全管理体系，至少应包括三类措施：一是社会的法律政策、企业的规章制度以及信息安全教育等外部软环境;二是信息安全的技术措施，如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等;三是审计和管理措施，该方面措施同时包含了技术与社会措施。这些措施应该均衡考虑企业在保密性（C）、完整性（I）和可用性（A）三方面的安全需求，并且从应用安全、数据安全、主机安全、网络安全、桌面安全和物理安全等六大安全领域全面系统地实现企业的这些安全需求，从而构建安全技术、管理和人员三个方面有机结合的企业信息安全保障体系如图1所示：

  该模型是一种从企业信息安全的需求（保密性、完整性、可用性）为出发点，以应用安全、数据安全、主机安全、网络安全、桌面安全、物理安全为关注重点，层层剖析全面深入地挖掘企业的信息安全需求，构建以管理、技术和人员三者有机结合的立体的企业信息安全保障体系。

  这种企业信息安全管理架构的规划融合了管理和技术为核心的全面分析方法，以安全需求为焦点，从管理现在的状况、技术现状和人员状况三个维度，综合采用调查问卷、人员访谈、现场察看、资料分析、技术检验测试等多种手段，全面深入地挖掘需求。在明确需求的前提下，还要借鉴同类企业成功经验，再规划出符合企业实情的信息安全保障体系。

  当然该安全体系架构的具体实施还要考虑如下问题：成长型企业一方面要节省本金，一方面要把安全风险降到低。从这两个出发点出发才能够建立适合成长型企业的信息安全体系;计划阶段要评估自己的信息资产，自己的信息资产的价值有多大，现有的安全手段是什么，根据评估结果确立安全战略;开始建立和实施自己的信息安全体系，拟定自己的战略流程;对员工和合作伙伴的培训，建立信息监测和安全的手段。

  在保证物理安全、桌面安全、网络安全、主机安全的基础上，信息安全架构的常规操作包括数据层保护、应用程序层保护、事件应对检查和安全操作。

  数据层保护包括用EFS对文件进行加密;用访问控制列表限制数据;从默认位置移动文件;创建数据备份和恢复;用Windows Rights Management Services保护文档和电子文件等等。

  应用程序层保护包括只启动必需的服务和功能;配置应用程序安全设置;安装应用程序的安全更新程序;安装和更新防病毒软件;以低权限运行应用程序等等。

  事件应对检查包括确定正在遭受攻击;确定攻击类型;发出有关攻击通知;遏制攻击;采取预防性措施;将攻击情况记录存档等等。

  安全佳做法包括深层防御;设计时考虑安全;低权限;从过去的错误中学习;维持安全级别;加强用户的安全意识;开发和测试事件应对计划和过程等等。

  综上所述，企业要做到以信息为中心的安全，必须做到管理层面、组织层面和操作层面的有机结合，这样才可以建立有效的安全体系，以此来实现企业安全建设的终目标。声明：凡来源标明“智慧城市网”的文章版权均为本站所有，如需转载请务必标注明确出处，违者本网将追究有关规定法律责任；所有未标明来源为“智慧城市网”的转载文章目的是传递更加多信息，均不代表本网立场及观点，“智慧城市网”不对这些第三方内容或链接做一切保证或承担任何责任；如涉及版权等问题，请在内容发表之日起一周内与本网联系，否则视为放弃相关权利。

  交通领域动态速览｜加快修订道路交互与通行安全法、上海试点智能网联汽车等跨境数据传输......

  智慧城市一周热点回顾｜强化5G-A关键技术突破、2023年我国卫星导航与位置服务产值超5300亿元......

  智慧城市一周热点回顾｜国务院常务会议审议通过《制造业数字化转型行动方案》、《电瓶车行业规范条件》《电瓶车行业规范公告管理办法》 印发......

  交通领域动态速览｜重庆投放68辆无人驾驶出租车、上海智能网联车测试道路将连点成片......

  交通领域动态速览｜全力发展智能网联新能源汽车、《汽车以旧换新补贴细则》印发、杭州为智能网联汽车上路立法......

  2024第三届中国（福建）数字安防产业博览会暨第十一届福建省社会公共安全项目产品博览会