信息系統(tǒng)平安規(guī)劃框架與方法隨著互聯(lián)網(wǎng)的不斷開展，全球信息化已成為人類開展的大趨勢，我國信息化建立進(jìn)程也全面加速，企業(yè)信息化在提高效勞水平、促進(jìn)業(yè)務(wù)創(chuàng)新、提升核心競爭力等方面發(fā)揮著越來越重要的作用，信息系統(tǒng)已成為推動國民經(jīng)濟增長的重要力量。隨著企業(yè)信息化工作的提高，我國各地區(qū)、各行業(yè)使用信息系統(tǒng)開展工作的比例越來越大，信息系統(tǒng)平安問題更為突顯和日趨嚴(yán)重，平安問題也逐漸成為影響業(yè)務(wù)運行、制約生產(chǎn)力開展的重要因素之一。企業(yè)信息化的開展將面臨著的信息平安方面的嚴(yán)峻考驗，對信息系統(tǒng)平安進(jìn)展全面的規(guī)劃以適應(yīng)形勢開展的要求已經(jīng)是一個不能回避的問題也成為了人們共同關(guān)注的一個保證信息平安的重要環(huán)節(jié)。一、信息系統(tǒng)平安規(guī)劃的意義信息系統(tǒng)平安規(guī)劃是一個涉及管理、法規(guī)和技術(shù)等多方面的綜合工程。信息系統(tǒng)平安的總體目標(biāo)是物理平安、網(wǎng)絡(luò)平安、數(shù)據(jù)平安、信息容平安、信息根底設(shè)備平安與公共信息平安的總和。信息系統(tǒng)平安的最終目的是確保信息的性、完整性和可用性，以及信息系統(tǒng)主體包括用戶、組織、社會和國家，對于信息資源的控制。信息系統(tǒng)平安規(guī)劃是以企業(yè)信息化戰(zhàn)略規(guī)劃為指導(dǎo)，以企業(yè)的信息資源規(guī)劃為根底，全面完整地規(guī)劃信息系統(tǒng)應(yīng)用和相關(guān)信息架構(gòu)，確定信息系統(tǒng)的平安框架、管理模式與建立步驟。企業(yè)在信息系統(tǒng)平安規(guī)劃的指導(dǎo)下建立的網(wǎng)絡(luò)與信息環(huán)境，才可以在平安機制的控制與制約下，讓各種業(yè)務(wù)解決方案、應(yīng)用系統(tǒng)和數(shù)據(jù)都不受負(fù)面因素帶來的威脅地在其上實現(xiàn)有效配合。信息系統(tǒng)平安規(guī)劃不應(yīng)該只是規(guī)劃未來幾個月，而是規(guī)劃未來幾年如何到達(dá)企業(yè)信息化遠(yuǎn)景規(guī)劃指導(dǎo)下的平安建立目標(biāo)的一個過程。信息系統(tǒng)平安規(guī)劃比單獨購置信息平安產(chǎn)品更重要，只有信息系統(tǒng)平安的整體布置有方案、有方向、有目的、有配合，才能構(gòu)成真正意義上的信息平安。二、信息系統(tǒng)平安規(guī)劃的圍信息系統(tǒng)平安規(guī)劃是在建和已建的信息系統(tǒng)中必須要考慮的重要容。信息系統(tǒng)平安規(guī)劃主要是根據(jù)風(fēng)險評估的結(jié)果和提取的平安需求描述實施相應(yīng)的平安保障的目標(biāo)、措施和步驟。按照“全網(wǎng)平安〞的思想，信息系統(tǒng)平安規(guī)劃需要從管理、組織和技術(shù)等多方面進(jìn)展綜合考慮，所涉及到的應(yīng)該是綜合管理、技術(shù)規(guī)、運行維護(hù)等多個層面的控制措施。信息系統(tǒng)平安規(guī)劃的圍應(yīng)該是多方面的涉及技術(shù)平安、規(guī)管理、組織構(gòu)造。技術(shù)平安是以往人們談?wù)摫葦M多的話題，也是以往在平安規(guī)劃中描述較重的地方，用的最多的是一些如：防火墻、入侵檢測、漏洞掃描、防病毒、VPN、訪問控制、備份恢復(fù)等平安產(chǎn)品。但是信息系統(tǒng)平安是一個動態(tài)開展的過程，過去依靠技術(shù)就可以解決的大局部平安問題，但是現(xiàn)在僅僅依賴于平安產(chǎn)品的堆積來應(yīng)對迅速開展變化的各種攻擊手段是不能持續(xù)有效的。信息系統(tǒng)平安建立是一項復(fù)雜的系統(tǒng)工程，要從觀念上進(jìn)展轉(zhuǎn)變，要在平安產(chǎn)品的支持下建立全方位的平安策略，使之成為一個可持續(xù)的動態(tài)開展的有平安保障的漸進(jìn)過程。因此，目前在平安設(shè)備有一定規(guī)模的情況下，規(guī)管理就成為了信息系統(tǒng)平安規(guī)劃需要關(guān)注的核心容，在信息系統(tǒng)平安規(guī)劃中一定要將規(guī)管理的規(guī)劃放在首位。規(guī)管理包括風(fēng)險管理、平安策略、規(guī)章制度和平安教育，這幾個組件是信息系統(tǒng)平安規(guī)劃的重要容。信息系統(tǒng)平安規(guī)劃需要有規(guī)劃的依據(jù)，這個依據(jù)就是企業(yè)的信息化戰(zhàn)略規(guī)劃，同時更需要有組織與人員構(gòu)造的合理布局來保證，沒有適宜的人員配合工作任何事情都是不可能完成的，因此在平安規(guī)劃中不可以無視對組織構(gòu)造建立和進(jìn)展人員合理調(diào)配這個關(guān)鍵環(huán)節(jié)。三、信息系統(tǒng)平安規(guī)劃框架與方法信息系統(tǒng)平安規(guī)劃是一個非常細(xì)致和非常重要的工作，首先需要對企業(yè)信息化開展的歷史情況進(jìn)展深入和全面的調(diào)研，知道家底、掌握情況針對信息系統(tǒng)平安的主要容進(jìn)展整體的開展規(guī)劃工作。下面用圖-1表示信息系統(tǒng)平安體系的框架。圖-1信息系統(tǒng)平安體系從上圖可以看出，信息系統(tǒng)平安體系主要是由技術(shù)體系、組織機構(gòu)體系和管理體系三局部共同構(gòu)成的。技術(shù)體系是全面提供信息系統(tǒng)平安保護(hù)的技術(shù)保障系統(tǒng)，該體系由物理平安技術(shù)和系統(tǒng)平安技術(shù)兩大類構(gòu)成。組織體系是信息系統(tǒng)的組織保障系統(tǒng)，由機構(gòu)、崗位和人事三個模塊構(gòu)成。機構(gòu)分為：領(lǐng)導(dǎo)決策層、日常管理層和具體執(zhí)行層，崗位是信息系統(tǒng)平安管理部門根據(jù)系統(tǒng)平安需要設(shè)定的負(fù)責(zé)*一個或*幾個平安事務(wù)的職位，人事是根據(jù)管理機構(gòu)設(shè)定的崗位對崗位上在職、待職和離職的員工進(jìn)展素質(zhì)教育、業(yè)績考核和平安監(jiān)管的機構(gòu)。管理體系由法律管理、制度管理和培訓(xùn)管理三局部組成。信息系統(tǒng)平安體系清楚了之后，就可以針對以上描述的容進(jìn)展全面的規(guī)劃。信息系統(tǒng)平安規(guī)劃的層次方法與步驟可以有不同，但是規(guī)劃容與層次應(yīng)該是一樣，規(guī)劃的具體環(huán)節(jié)、相互之間的關(guān)系和具體方法用圖-2表示：圖-2信息系統(tǒng)平安規(guī)劃框架圖1、信息系統(tǒng)平安規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃信息化戰(zhàn)略規(guī)劃是以整個企業(yè)的開展目標(biāo)、開展戰(zhàn)略和企業(yè)各部門的業(yè)務(wù)需求為根底，結(jié)合行業(yè)信息化方面的需求分析、環(huán)境分析和對信息技術(shù)開展趨勢的掌握，定義出企業(yè)信息化建立的遠(yuǎn)景、使命、目標(biāo)和戰(zhàn)略規(guī)劃出企業(yè)信息化建立的未來架構(gòu)，為信息化建立的實施提供一副完整的藍(lán)圖，全面系統(tǒng)地指導(dǎo)企業(yè)信息化建立的進(jìn)程。信息系統(tǒng)平安規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃，對信息化戰(zhàn)略的實施起到保駕護(hù)航的作用。信息系統(tǒng)平安規(guī)劃的目標(biāo)應(yīng)該與企業(yè)信息化的目標(biāo)是一致的，而且應(yīng)該比企業(yè)信息化的目標(biāo)更具體明確、更貼近平安。信息系統(tǒng)平安規(guī)劃的一切論述都要圍繞著這個目標(biāo)展開和部署。2、信息系統(tǒng)平安規(guī)劃需要圍繞技術(shù)平安、管理平安、組織平安考慮信息系統(tǒng)平安規(guī)劃的方法可以不同、側(cè)重點可以不同，但是需要圍繞技術(shù)平安、管理平安、組織平安進(jìn)展全面的考慮。規(guī)劃的容根本上應(yīng)該涵蓋有，確定信息系統(tǒng)平安的任務(wù)、目標(biāo)、戰(zhàn)略以及戰(zhàn)略部門和戰(zhàn)略人員，并在此根底上制定出物理平安、網(wǎng)絡(luò)平安、系統(tǒng)平安、運營平安、人員平安的信息系統(tǒng)平安的總體規(guī)劃。物理平安包括環(huán)境設(shè)備平安、信息設(shè)備平安、網(wǎng)絡(luò)設(shè)備平安、信息資產(chǎn)設(shè)備的物理分布平安等。網(wǎng)絡(luò)平安包括網(wǎng)絡(luò)拓?fù)錁?gòu)造平安、網(wǎng)絡(luò)的物理線路平安、網(wǎng)絡(luò)訪問平安，防火墻、入侵檢測系統(tǒng)、VPN等等。系統(tǒng)平安包括：操作系統(tǒng)平安、應(yīng)用軟件平安、應(yīng)用策略平安等。運營平安應(yīng)在控制層面和管理層面保障包括備份與恢復(fù)系統(tǒng)平安、入侵檢測功能、加密認(rèn)證功能、漏洞檢查及系統(tǒng)補丁功能、口令管理等。人員平安包括平安管理的組織機構(gòu)、人員平安教育與意識機制、人員招聘及離職管理、第三方人員平安管理等。3、信息系統(tǒng)平安規(guī)劃的影響力在信息系統(tǒng)與信息資源信息系統(tǒng)平安規(guī)劃的最終效果應(yīng)該表達(dá)在對信息系統(tǒng)與信息資源的平安保護(hù)上，因此規(guī)劃工作需要圍繞著信息系統(tǒng)與信息資源的開發(fā)、利用和保護(hù)工作進(jìn)展，要包括藍(lán)圖、現(xiàn)狀、需求、措施四個方面。首先，對信息系統(tǒng)與信息資源的規(guī)劃需要從信息化建立的藍(lán)圖入手，知道企業(yè)信息化開展策略的總體目標(biāo)和各階段的實施目標(biāo)，制定出信息系統(tǒng)平安的開展目標(biāo)。第二，對企業(yè)的信息化工作現(xiàn)狀進(jìn)展整體的、綜合、全面的分析，找出過去工作中的優(yōu)勢與缺乏；第三根據(jù)信息化建立的目標(biāo)提出未來幾年的需求，這個需求最好可以分解成假設(shè)干個小的方面，以便于今后的落實與實施；第四，要寫明在實施工作階段的具體措施與方法，提高規(guī)劃工作的執(zhí)行力度。信息系統(tǒng)平安規(guī)劃效勞于企業(yè)信息化戰(zhàn)略目標(biāo)，信息系統(tǒng)平安規(guī)劃做得好，企業(yè)信息化工作的實現(xiàn)就有了保障，信息系統(tǒng)平安規(guī)劃是企業(yè)信息化開展戰(zhàn)略的根底性工作不是可有可無而是非常重要。由于企業(yè)信息化的任務(wù)與目標(biāo)不同，所以信息系統(tǒng)平安