信息安全思想篇之信息安全规划要有全局性

上一篇文章我们了解了信息安全规划的重要作用，本文主要讲述信息安全规划需要全局性考虑的几个方面。

一、信息安全规划依托企业信息化战略规划

信息化战略规划是以整个组织的发展目标、发展战略和组织各部门的业务需求为基础，结合行业信息化方面的需求分析、环境分析和对信息技术发展趋势的掌握，定义出组织信息化建设的远景、使命、目标和战略，规划出组织信息化建设的未来架构，为信息化建设的实施提供一副完整的蓝图，全面系统地指导组织信息化建设的进程。信息安全规划依托企业信息化战略规划，对信息化战略的实施起到保驾护航的作用。信息安全规划的目标应该与组织信息化的目标是一致的，而且应该比组织信息化的目标更具体明确、更贴近安全。信息安全规划的一切论述都要围绕着这个目标展开和部署。

二、信息安全规划需要围绕技术安全、管理安全、组织安全考虑

信息安全规划的方法可以不同、侧重点可以不同，但是需要围绕技术安全、组织和管理安全、运维安全进行全面的考虑。规划的内容基本上应该涵盖有：确定信息安全的任务、目标、战略以及战略部门和战略人员，并在此基础上制定出物理安全、网络安全、系统安全、运维安全、人员安全的信息安全总体规划。物理安全包括环境设备安全、信息设备安全、网络设备安全、信息资产设备的物理分布安全等。网络安全包括网络拓扑结构安全、网络访问安全等。系统安全包括操作系统安全、应用软件安全、应用策略安全等。运维安全应在控制层面和管理层面保障，包括备份与恢复系统安全、漏洞检查及系统补丁功能、口令管理等。人员安全包括安全管理的组织机构、人员安全教育与意识机制、人员招聘及离职管理、第三方人员安全管理等。

三、信息安全规划的影响力在信息系统与信息资源

信息安全规划的最终效果应该体现在对信息系统与信息资源的安全保护上，因此规划工作需要围绕着信息系统与信息资源的开发、利用和保护工作进行，包括蓝图、现状、需求、措施四个方面。首先，对信息系统与信息资源的规划需要从信息化建设的蓝图入手，明确组织信息化发展策略的总体目标和各阶段的实施目标，制定出信息安全的发展目标；第二，对组织的信息化工作现状进行整体的、综合、全面的分析，找出过去工作中的优势与不足；第三，根据信息化建设的目标提出未来几年的需求，这个需求最好可以分解成若干个小的方面，以便于今后的落实与实施；第四，要将实施工作阶段的具体措施与办法文档化，提高规划工作的执行力度。

信息安全规划服务于企业信息化战略目标，信息安全规划做得好，组织信息化工作的实现就有了保障。信息安全规划是组织信息化发展战略的基础性工作，不是可有可无而是非常重要。由于组织信息化的任务与目标不同，所以信息安全规划包括的内容就不同，建设的规模就有很大的差异，因此信息安全规划无法从专业书籍或研究资料中找到非常有针对性的帮助，也不可能给出一个规范化的信息安全规划的模板。在这里提出信息安全规划框架与方法，给出了信息安全规划工作的一种建设原则、建设内容、建设思路，具体规划还需要深入细致地进行本地化的调查与研究。

以上是山东省软件评测中心多年的工作总结，希望能给大家带来帮助，不足之处还望指正。