信息安全体系架构一

8.2  企业信息安全体系

8. 2.1  信息安全体系架构

不同的企业对信息安全的需求不同，构建企业切实可行的信息安全体系，实质上是实施一个复杂的系统工程，既不能照抄照搬其他企业的模式，也不能简单地堆砌各种安全产品，而要考虑兼顾诸多因素：

一要充分认知企业信息安全现实和未来发展趋势，兼顾企业内外部物理环境、系统本身的特征、人文因素，因势利导，对症下药；二要管理手段和技术措施并重，管理作指导，技术作保障；三要兼治外部攻击和内部缺陷，防外与防内相结合；四要系统加固与反攻击同步，在加强外部防范的同时，要加强信息系统本身的安全措施；五要安全性与易用性适衡，信息系统只有有效使用才能充分发挥作用，不能因噎废食，过分追求安全，严重影响系统的应用性能；六要考虑安全投入与信息系统价值相匹配，企业一方面要节约成本，另一方面要把安全风险降低到可以接受的程度。

充分考虑和权衡上述因素，才有可能建立适合企业自身的信息安全体系。

企业信息安全体系的设计，要完整地包括信息安全策略、信息安全组织、信息安全技术和信息安全建设与运行四部分内容，具体是：

建立企业信息安全策略框架，制定信息资产和信息系统的分级规范和相应的安全保护标准，制定完善的信息安全策略、安全管理制度、安全技术规范、操作流程、操作规范，形成完整的策略体系，并建立策略体系动态维护机制。