信息安全管理的概念

1.3.1　信息安全管理的概念

信息安全的建设过程是一个系统工程，它需要对信息系统的各个环节进行统一的综合考虑、规划和架构，并需要兼顾组织内外不断发生的变化，任何环节上的安全缺陷都会对系统构成威胁。这点可以借用管理学上的木桶原理加以说明。木桶原理是指：一个木桶由许多木板组成，如果木板的长短不一，那么木桶的最大容量取决于最短的那块木板。这个原理可适用于信息安全。一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。信息从产生到销毁，其生命周期过程中包括产生、收集、加工、交换、存储、检索、存档、销毁等多个事件，表现形式和载体会发生各种变化，这些环节中的任何一个都可能影响整体信息安全水平。要实现信息安全目标，一个组织必须使构成安全防范体系的这只“木桶”的所有木板都达到一定的长度。

由于信息安全是一个多层面、多因素、综合和动态的过程，如果组织凭着一时的需要，想当然地制定一些控制措施和引入某些技术产品，都难免存在挂一漏万、顾此失彼的问题，使得信息安全这只“木桶”出现若干“短板”，从而无法提高安全水平。正确的做法是遵循国内外相关信息安全标准和最佳实践的过程，考虑到组织信息安全各个层面的实际需求，在风险分析的基础上引入恰当的控制，建立合理的安全管理体系，从而保证组织赖以生存的信息资产的机密性、完整性和可用性；另外，这个安全体系还应当随着组织环境的变化、业务发展和信息技术提高而不断改进，不能一劳永逸，一成不变。因此实现信息安全是一个需要完整体系来保证的持续过程。这就是组织需要信息安全管理的基本出发点。

所谓管理，就是针对特定对象、遵循确定原则、按照规定程序、运用恰当方法、为了完成某项任务以及实现既定目标而进行的计划、组织、指导、协调和控制等活动。对现代企业和组织来说，管理对其正常业务运行无疑起着举足轻重的作用。

信息安全管理是组织为实现信息安全目标而进行的管理活动，是组织完整的管理体系中的一个重要组成部分，是为保护信息资产安全，指导和控制组织的关于信息安全风险的相互协调的活动。信息安全管理是通过维护信息的机密性、完整性和可用性等，来管理和保护组织所有信息资产的一系列活动。

信息安全管理不仅是安全管理部门的事务，而是整个组织必须共同面对的问题，涉及组织安全策略及安全管理制度、人员管理、业务流程、物理安全、操作安全等多个方面。从人员上看，信息安全管理涉及全体员工，包括各级管理人员、技术人员、操作人员等；从业务上看，信息安全管理贯穿到所有与信息及其处理设施有关的业务流程当中。