信息安全不止单纯的技术问题
2021-01-16云飞
云飞
信息安全工作开展的时候,如果只是一味地注重技术的作用,忽略管理的重要性,就很难把项目的信息安全措施落到实处,信息安全技术很难得到有效发挥。
信息安全可分为狭义安全与广义安全两个层次,狭义的安全是建立在以密码论为基础的计算机安全领域,早期的信息安全通常以此为基准,辅以计算机技术、通信网络技术与编程等方面的内容;广义的信息安全是从传统的计算机安全到信息安全,安全不再是单纯的技术问题,而是将管理、技术、法律等问题相结合的产物。
从信息安全的实践中,我们发现信息安全的体系中包含了两个重要的部分,一个是信息安全技术,一个是信息安全管理。
信息安全工作开展的时候,如果只是一味地注重技术的作用,忽略管理的重要性,就很难把项目的信息安全措施落到实处,信息安全技术很难得到有效发挥。完善信息安全组织机构、制度,细化职责分工,制定执行标准,确保日常管理、检查等制度的有效执行,才能确保相关信息安全保护措施有效执行,才能真正发挥信息安全体系的作用。
需要注意的事,在信息安全體系建立前,必须建立信息安全组织机构,这个机构的设置必须强调三个层级。
一是信息安全决策机构。决策机构应处于安全组织机构的第一个层级,是一个项目、一个单位信息安全管理工作的最高机构,对信息安全规划、策略和建设方案进行审批,并为信息安全工作提供各类资源。
二是信息安全管理机构。管理机构处于安全组织机构的第二个层级,在决策机构的领导下,负责信息安全项目的日常管理、监督等工作。
三是信息安全执行机构。在管理机构的领导下,负责保证信息安全技术体系的有效运行及日常维护,通过具体技术手段落实安全策略,消除安全风险以及发生安全事件后的具体响应和处理。
信息安全是工业互联网建设的基础,更是数字化转型的第一道“屏障”。在重视信息安全工作的同时,更要注重完整科学的逻辑体系,建立一套行之有效的建设方案,确保形成良好有序的发展生态。