实验8 信息安全管理

1．实验目的

（1）了解信息安全管理

（2）制定信息安全管理策略

2．实验内容

（1）学习什么是信息安全管理，具有什么样的重要性。

什么是信息安全管理:

信息安全管理是指通过维护信息的机密性，完整性和可用性管理和保护信息资产，是对信息安全保障进行指导，规范和管理的一系列活动和过程。

简而言之，信息安全管理可以理解为为了保障企业信息系统能够正常、安全的支撑业务运行而做的一些必要的安全管理措施。

信息安全管理的重要性

1.信息安全管理是组织整体管理的重要、固有组成部分，是组织实现其业务目标的重要保障
2.信息安全管理是信息安全技术的融合剂，保障各项技术措施能够发挥作用
3.信息安全管理能预防、阻止或减少信息安全事件的发生

（2）制定高科技企业的信息安全管理策略体系。

 信息安全管理体系（ISMS）是针对任何类型的组织用于建立、实施、运行、监控、审核、维护和改进信息安全的一个政策、程序、指南以及相关资源的框架。ISMS已经成为被国际标准化组织认可的国际标准、ISO/ IEC27000系列标准定义了信息安全管理体系（ISMS）的要求，奠定了信息安全管理体系的认证基础。标准解释的了整体计划 – 执行 – 检查 – 行动（PDCA）的方法，并为其实施提供了详细的指导。

 

如图列出围绕高科技企业白皮书制定ISMS规范和要点。

3．分析与讨论

（1）讨论信息安全是技术重要还是管理重要？

从上述信息中我们知道信息安全管理有技术和管理两个方面，辩证的来说，两者是相辅相成的关系。

但从我的角度来看，三分技术七分管理。实际上，只有在宏观层次上实施了良好的信息安全管理，即采用国际上公认的最佳实践和规则集等，才能使微观层次上的安全，如物理措施等，实现其恰当的作用。

之前在我的眼里信息安全体系就是信息安全技术体系。如何从物理层、网络层、应用层、数据层等的角度去看待安全，用何种技术去实现各个层面的安全。这就是体系，但是其实看来这只是技术体系的一部分。管理体系和运维体系也非常重要，甚至我现在看来管理体系应该是最重要的。

公司，或者说组织的领导如何确立信息安全的管理方针，有没有方针。谁来领导安全工作，谁来负责安全工作，谁来处理安全事件，发生事故谁来负责。管理层到底把安全放在一个什么样的位置上。如果没有一个清晰明确的定义的话，那么技术体系和运维体系在具体的执行工作中也就无从谈起。

当然在信息管理也没有绝对的信息安全，只有相对的，只有建立了信息安全管理体系，然后运行起来，之后在检查审核，然后不足之处在做改进，如此循环才行，并且要推行体系，必须成立相关工作组，由企业的最高管理者在管理层指派一名管理者代表负责，各个部门的负责人参与，并且逐级推行