弄清信息系统安全体系之后,就可以针对上述内容进行全面的规划。信息系统安全规划的层次、方法与步骤可以有所不同,但是规划的内容与层次应该是相同的。规划的具体环节、相互之间的关系和具体方法如图2所示。
1.信息系统安全规划依托企业信息化战略规划
信息化战略规划是以整个企业的发展目标、发展战略和企业各部门的业务需求为基础,结合行业图2信息系统安全规划框架信息化方面的需求分析、环境分析和对信息技术发展趋势的掌握,定义出企业信息化建设的远景、使命、目标和战略,规划出企业信息化建设的未来架构,为信息化建设的实施提供一副完整的蓝图,全面系统地指导企业信息化建设的进程。信息系统安全规划依托企业信息化战略规划,对信息化战略的实施起到保驾护航的作用。信息系统安全规划的目标与企业信息化的目标是一致的,而且应该比企业信息化的目标更具体明确、更贴近安全。信息系统安全规划的一切论述都要围绕着这个目标展开和部署。
2.信息系统安全规划需要围绕技术安全、管理安全以及组织安全考虑
信息系统安全规划的方法和侧重点均可以有所区别,但是需要围绕技术安全、管理安全以及组织安全进行全面的考虑。规划的内容应该涵盖以下内容:确定信息系统安全的任务、目标、战略以及战略部门和战略人员,并在此基础上制定出物理安全、网络安全、系统安全、运营安全和人员安全的信息系统安全的总体规划。其中,物理安全包括环境设备安全、信息设备安全、网络设备安全以及信息资产设备的物理分布安全等;网络安全包括网络拓扑结构安全、网络的物理线路安全、网络访问安全(防火墙、入侵检测系统、vPN等)等;系统安全包括操作系统安全、应用软件安全以及应用策略安全等;运营安全应在控制层面和管理层面保障,包括备份与恢复系统安全、人侵检测功能、加密认证功能、漏洞检查及系统补丁功能、口令管理等;人员安全包括安全管理的组织机构、人员安全教育与意识机制、人员招聘及离职管理、第三方人员安全管理等。
3.信息系统安全规划的影响力在于信息系统与信息资源
信息系统安全规划的最终效果应该体现在对信息系统与信息资源的安全保护上,因此规划工作要围绕着信息系统与信息资源的开发、利用和保护工作进行,并且包括蓝图、现状、需求及措施四个方面。首先,对信息系统与信息资源的规划需要从信息化建设的蓝图人手,知道企业信息化发展策略的总体目标和各阶段的实施目标,制定出信息系统安全的发展目标;第二,对企业的信息化工作现状进行整体、综合、全面的分析,找出过去工作中的优势与不足;第三,根据信息化建设的目标提出未来几年的需求,这个需求最好可以分解成若干个小的方面,以便于今后的落实与实施;第四,明确实施工作阶段的具体措施与方法,提高规划工作的执行力度。
信息系统安全规划服务于企业信息化战略目标,信息系统安全规划做得好,企业信息化工作的实现就有了保障。信息系统安全规划是企业信息化发展战略的基础性工作,不是可有可无而是非常重要。由于企业信息化的任务与目标不同,所以信息系统安全规划包括的内容就不同,建设的规模也有很大的差异,因此信息系统安全规划无法从专业书籍或研究资料中找到非常有针对性的帮助和适用法则,也不可能给出一个规范化的信息系统安全规划的模板。文章提出了信息系统安全规划的框架与方法,给出了信息系统安全规划工作的一种建设原则、内容和思路,在具体规划中还需要深人细致地进行本地化的调查与研究。
(责任编辑:adminadmin2008)
