明确信息安全建设目标 有的放矢

信息作为一种资源，它的普遍性、共享性、增值性、可处理性和多效用性，使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。根据国际标准化组织的定义，信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。

在前面的文章中我们讲到信息安全建设的思想，本期主要介绍信息安全建设的方法，本文就信息安全建设目标做简单表述，希望能给大家带来帮助。

企业在进行信息安全建设时，应从企业整体IT规划的角度出发，将信息安全工作纳入IT部门一项重要的工作去从整体上进行把握。建立信息安全方针，确定信息安全策略，构建信息安全管理体系、技术体系和运维体系，并在实际工作中不断完善。如图1信息安全体系规划图所示。

信息安全体系规划图

信息系统安全是一个动态发展的过程，过去依靠技术就可以解决的大部分安全问题，但是现在仅仅依赖于安全产品的堆积来应对迅速发展变化的各种***手段是不能持续有效的。信息安全建设是一项复杂的系统工程，要从观念上进行转变，要在安全产品的支持下建设全方位的安全策略，使之成为一个可持续的动态发展的有安全保障的渐进过程。因此，目前在安全设备有一定规模的情况下，规范管理就成为了信息安全规划需要关注的核心内容，在信息安全规划中一定要将规范管理的规划放在首位。规范管理包括风险管理、安全策略、规章制度和安全教育，这几个组件是信息安全规划的重要内容。信息安全规划需要有规划的依据，这个依据就是组织的信息化战略规划，同时更需要有组织与人员结构的合理布局来保证，没有合适的人员配合工作任何事情都是不可能完成的，因此在安全规划中必须重视对组织结构建立和进行人员合理调配这个关键环节。

信息安全的建设目标，可以用“一个目标、两种手段、三个体系”进行概括。

一个目标。信息安全的建设目标是：基于安全基础设施、以安全策略为指导，提供全面的安全服务内容，覆盖从物理、网络、系统、直至数据和应用平台各个层面，以及保护、检测、响应、恢复等各个环节，构建全面、完整、高效的信息安全体系，从而提高组织信息系统的整体安全等级，为组织的业务发展提供坚实的信息安全保障。

两种手段。信息安全建设应该包括安全技术与安全管理两种手段。其中安全技术手段是安全保障的基础，安全管理手段是安全技术手段真正发挥效益的关键，管理措施的正确实施同时需要有技术手段来监管和验证，两者相辅相成，缺一不可。

三个体系。信息安全建设最终形成3个主要体系，具体包括安全技术管控体系、安全组织管理管控体系、运营保障管控体系。

以上是山东省软件评测中心多年工作总结，不足之处，还望专家学者拍砖指正。