信息管理就是把分散的信息安全技术因素、人的因素，通过政策规则协调整合成为一体，服务于企业信息化使命的安全目标。因此，参照国际先进的信息安全管理实践经验，结合企业的实际情况以及国家信息安全等级保护要求，以及风险等要求建立一套符合国际标准要求的信息安全保障管理体系，将有效地从管理、技术、运维等方面提高企业的总体信息安全水平，保障企业的业务持续运行，保护企业的核心竞争力。对于任何企业，采用ISAMS将是一项重要的战略性决策，企业信息化体系结构最重要是信息安全保障，如果没有信息安全保障，企业的信息化就很难健康地发展。

1、机构和制度管理

为了实现有效的安全保障，离散制造企业首先必须建立专门的安全保障组织机构，将安全保障工作提到企业工作历程上，并制定有效的信息安全保障管理体系。并在具体实施中始终坚持以下原则：

1)信息安全管理责任明确。管理是需要通过人来实施的。信息安全保障管理不是一个人的事情，要人人有事做，事事有人做，企业需要建立人与事的匹配关系，用角色和责任把这种关系明确起来，固定下来，以便备忘、查考、赏罚。同时，管理者还必须给予明确的支持和承诺。

2)信息安全保障管理“有规可依”。信息安全保障管理是一个动态的过程，需要建立符合规范的流程来体现这个过程。流程必须规范，使不同时间、不同的人在实施同类事物的管理时，步调一致、效果最佳、可以比较。

3)信息安全保障管理流程“执规必严”。赋有管理责任的角色，在实施信息安全时，绝不能信马由缰，随意乱来。相关的法律、规章、制度是实施管理的依据，必须与其保持一致。

4)信息安全保障管理整体的协调一致。信息安全保障管理的整体是通过不同部门、不同人员管理的各个分项综合来实现其效果的。它们之间为了整体的管理要求，必须协调。协调的要求应该是事先共识达成一致。为了协调，相互之间必须沟通，同时也要与企业的文化保持一致。

5)信息安全管理执行有据可查。规定的管理行为必须执行，执行的管理活动应该有据可查。信息安全管理活动必须留有记录、证据，以便查考管理的效果，改进完善管理行为。

6)信息安全保障管理的常态性。向所有管理者、员工和其他方提供适当的意识、培训和教育，传达有效的信息安全知识以使他们具备安全意识和素质。

7)信息安全保障管理要求明确。企业信息安全保障管理需求，一是从考虑企业整体业务战略和目标的情况下，评估组织的信息安全风险获得。通过风险评估，识别出资产受到的威胁，评价易受威胁利用的脆弱性和威胁发生的可能性，估计潜在的影响。二是企业开发的支持其运行的信息处理的原则、目标和业务要求的特定集合。三是来源于组织、贸易伙伴、合同方和服务提供者必须满足的法律、法规、规章和合同要求，以及他们的企业文化环境。

2、风险测评

基于风险测评，离散型行业企业可以全面分析当前信息系统的安全状况，找出安全漏洞和隐患，以此来确定自己在信息安全管理建设方面的需求。在实施风险测评活动时，企业应该在确定范围内组建风险测评小组，组织成员进行风险测评技能培训。同时还要考虑借助专业人员的经验和各种技术手段，探测并发掘离散企业内部信息系统中存在的各种安全威胁和漏洞，全面了解信息系统的安全现状，杜绝外部和内部违规利用网络资源而引发安全事件的可能。可通过以下途径实施安全测评：

1)借助专用的自动化扫描工具，对网络设备、主机系统、应用系统等进行漏洞扫描。

2)利用渗透测试技术，对值得关注的目标系统进行模拟入侵测试。

3)针对关键系统，进行等级保护测评和源代码安全测评，评定被测评应用系统和基础运行环境当前的安全状况。

3、风险处理

通过风险测评明确企业自身真正的安全需求后，需要根据风险测评的结果制定一系列风险处置计划并落实各项风险处置计划。具体可通过以下途径进行风险处理：

1)在信息安全技术运用方面。根据风险测评结果对需要采用技术措施来予以消减的风险，应该制定可行的解决方案(包括产品解决方案)，或者委托专业技术公司来提供，并配备专门的安全检测工具，定期实时获得系统安全检查情况。

2)在人员组织方面。根据安全评估结果，将其中由于认为操作而可能会引起的安全风险点、可能发生的安全事故以及处置措施对相关人员进行培训，规范员工操作行为，并设定人员责任。

3)在流程建设方面。加强内部审核，这要求企业建立内部审核流程和制度，明确责任人，制定审核计划，定期对公司信息安全管理体系的运行情况进行审核，审核结果应该和人员考核挂钩，发现问题及时改进，使遵守信息安全策略真正成为每一个员工的意识和习惯;建立BCP/DRP)(业务持续计划/灾难恢复计划)机制，包括应急响应，完善企业业务连续性管理框架;将安全管理流程和IT服务管理流程结合，在变更管理、配置管理、问题管理等方面进行规范化。

(责任编辑：安博涛)