纵

　　正如信息安全这四个字所表现一样，以保护信息为其最重要的目的。那么就应当对信息安全事件发生的之前、之中和之后进行有效控制。即以预防控制为主，但是也不能忽略操作性控制和恢复性控制。因此，应当从信息的事前预防、事中监控和事后恢复三个层面建设信息安全。

　　深

　　信息安全涉及的领域非常广，以人员、硬件、数据、软件等方面都会涉及。我们需要对从组织体系、制度体系、技术体系、运行体系、应急体系五个方面的深度进行概括。

　　组织

　　人是实施信息安全的最关键的因素，人控制好了，信息安全就控制

　　好了。因此成立一个合理和有效的安全组织架构，对于保证安全日常运行是最重要的。建立一个成功的信息安全组织体系有很多关键环节，但是组织高级管理层的参与、安全纳入绩效考核、人员信息安全意识与技能培训是必不可少的成功因素。

　　制度

　　把信息安全好的做法固化下来形成规则，就是制度。因此，信息安全制度是组织中信息安全行为准则。信息安全保障体系只有做到制度化、规范化才能更好地保证事前预防、事中监控、和事后审计等安全措施的执行与落实。

　　技术

　　技术是安全必不可少的实施工具，采取哪些安全技术，市场上有哪些工具可以使用，这是绝大部分信息安全管理工作者最关心的话题。一般来说，可以按照从上到下信息所流经的设备来部署工具。即从数据安全、终端安全、应用安全、操作系统与数据库安全、网络安全、物理安全六个方面来选择不同的安全工具。信息安全工具种类繁多，一般来说，每一种工具都有其擅长的安全方面，因此应按照“适度防御”原则，综合采用各种安全工具进行组合，形成企业“适用的”安全技术防线。最后，需要一到两种提供综合管理的工具来帮助把所有的安全监控工具近进行统一管控。这个和最终希望呈现给使用者的目的不同有所不同。例如soc(安全运行中心)是给企业日常维护管理者使用，itrm(风险管理工具)作为综合风险呈现，是给企业风险或安全管理层使用。

　　运行

　　技术体系更多是解决安全风险点的问题。也就是我们常说的“就事论事”：有病毒杀病毒，有漏洞补漏洞等等。但是我们知道，信息分散在一系列工作流程中各个环节中，因此需要对各项日常运行工作流程进行安全控制，也就是从信息的生命周期进行流程控制，即在信息的创建、使用、存储、传递、更改、销毁等各个阶段进行安全控制。目前受到热捧的开发安全就是在信息创建阶段的一个细化控制手段。在运行体系建设中，往往需要结合itil、cobit等流程分析来关注信息的生命周期安全。

　　应急

　　自美国“9.11”事件以后，业务连续性的重要程度提到了前所未有的高度。包括灾备中心建设、业务连续性计划、应急响应等等都有相应的标准与理论支持。特别是bs25999标准的颁布，给如何建立一套完善的应急体系提供了参考。

　　信息安全保障体系的建设

　　以上对如何构建完整的信息安全保障体系提供了一个方法模型，但是在企业中建立有效的保障体系是一个长期的过程，各企业应当根据自身实际情况，制定一个三到五年的中长期建设规划。一般来说，企业建立信息安全保障体系有如下几个步骤：

　　1) 全面分析企业的信息安全现状;

　　2) 提供信息安全战略和安全架构建议;

　　3) 制定企业信息安全保障建设规划;

　　4) 对规划中的项目提出初步实施方案，对近期实施的重点项目进行可行性研究。

　　相信对于第1)到第3)步很多企业都熟知，但是对于哪些属于重点是近期实施项目，可能会有不同的看法与意见。为了能够更加合理安排实施计划，可以对在未来三年内计划实施的信息安全控制措施进行汇总后确定出需要实施的项目，从项目紧迫性、项目可实施性、项目实施难易程度和项目预期效果等四个角度进行综合分析和量化评价，确定项目实施的优先级，制订安全项目实施时间表的过程。如图2所示，根据每个阶段不同目标，制定不同的是建设计划。

　　it内控建设是属于企业内控建设的重要组成部分，而信息安全保障体系的建设则是it内控建设的落地方法。内控体系建设本身就是一个复杂而且浩大的工程，目前都不缺乏完整的内控体系理论，但如何把如此复杂的工程进行细化、分类和落地，则需要一些实用的方法与步骤。作者依据多年的咨询经验，提出了如何建设完整的信息安全保障体系的前提、框架及过程，对当前企业的信息安全体系建设具有一定的参考意义。

(责任编辑：)