随着企业信息化的发展，现已全面进入以业务系统整合、数据大集中、云计算为特征的新阶段。信息技术的发展，也伴随出现了更多的对信息系统安全的威胁，其形式、手段和途径在不断地变化，使得企业安全环境逐步恶化，信息安全的防护已成为迫在眉睫需要解决的问题。为解决企业的安全管理问题，需要构建企业信息安全体系。

　　据权威机构统计，83%的信息安全事故为内部人员和内外勾结所为，而且呈上升的趋势。黑客及计算机病毒的入侵，将导致价值数据泄漏，严重破坏程序和数据，使网络的效率大大降低，许多功能无法使用，层出不穷的计算机病毒活跃在企业的各个角落。信息安全的防护已成为迫在眉睫需要解决的问题，企业的信息系统安全与否，已经成为决定企业能否正常运行的重要因素。这就要求企业必须加强对自身安全漏洞的检测、监控和处理，采取“防内为主、内外兼防”的模式，从提高企业各个使用节点自身的安全着手，构筑起积极、综合的安全防护体系，保障企业安全运营。

　　结合企业信息安全管理存在的问题和目标，为了有效管理企业信息安全，必须构建企业级信息安全体系。体系包含信息安全管理体系、安全技术防护体系、安全运行保障体系、安全培训及奖惩体系四部分内容，四者既有机结合，又相互支撑。

　　信息安全管理体系

　　建设自上而下的信息安全管理组织，明确安全管理职责。信息安全保障的关键在于组织领导，要从根本上加强企业的信息安全保障工作，必须建立集中统一、分工协作、各司其职的信息安全管理组织。一是企业各个职能部门要形成一个分工明确、责任落实、相互衔接、有机配合的组织管理体系，按照“谁主管、谁负责”的原则，共同履行信息安全管理的职责；二是充分调动企业和个人的积极性，实现有机联动，形成合力，共同构筑企业信息安全保障体系；三是健全和完善信息安全责任体系，要求各部门、各单位明确信息安全工作负责人，配备相应的信息安全员或岗位，把信息安全责任真正落实到人。做到组织到位、人员到位、责任到位，为企业信息安全工作的开展提供有效的组织与人员保障。

　　建立统一的信息安全管理策略，持续推动企业制度遵循与执行力建设。企业的规章制度及工作规范为企业各项工作的开展提供了标准和依据，同时，企业要在规章制度及工作规范中明确各项安全管理要求和策略，安全管理要求和策略主要包含人员安全、物理安全、网络安全、系统安全、桌面安全、应用安全、数据安全、研发安全、运行维护安全、风险评估、风险处置、应急管理、安全事件管理、安全审计等，特别是确保遵从国家信息安全相关法律法规及监管部门提出的相关信息安全要求。企业要高度重视各项制度的执行与落实，使得每一位员工熟知并履行日常工作中的安全职责与应当遵循的控制措施，形成执行有制度、员工懂制度、做事守制度的局面。同时，要定期组织开展对整个企业的制度执行和风险控制情况进行全面检查，及时对发现的问题进行整改，保障企业各项安全措施及责任的落实到位，各项制度与风险管理到位，并根据发现的问题不断更新、完善企业的安全管理策略，使得企业的整体安全策略及制度管理持续不断地改进和提升。

　　信息安全技术防护体系

　　现如今的技术是在不断改进和发展的，技术的种类也多种多样，每一项具体的技术实现手段都在某个方面保护了企业信息系统的安全。根据国内外信息安全最佳实践，信息安全相关的防护的实现主要围绕着物理层安全、网络层安全、系统层安全和应用层安全四个方面，通过八个大类技术防护手段来实现，分别是身份认证、访问管理、加密、恶意代码防护、加固、监控、审核跟踪和备份恢复这八种通用的保护措施。

　　物理层安全建设。该层次的安全包括通信线路的安全、物理设备的安全、机房的安全等。物理层的安全主要体现在通信线路的可靠性、硬件设备安全性、设备备份、防灾害和干扰能力、设备运行环境（温度、湿度、烟尘）、不间断电源保障等等。

　　网络层安全建设。该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证、网络资源的访问控制、数据传输的保密和完整性、远程接入安全、域名系统的安全、路由系统的安全、入侵检测手段、网络设备防病毒等。网络层常用的安全工具包括防火墙系统、入侵检测系统、VPN系统等。

　　系统层安全建设。该层次的安全问题来自网络内使用设备的操作系统，主要表现在三方面：一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是对操作系统的安全配置问题；三是病毒对操作系统的威胁。

　　应用层安全建设。该层次的安全主要考虑企业所采用的应用软件和业务数据的安全性，包括互联网应用、数据库软件、WEB服务器、电子邮件系统、办公系统等，安全问题主要体现在非法用户的非授权使用造成的信息外泄，以及黑客攻击造成的系统中断或混乱。对企业信息进行恰当的分类，确定安全级别，确保信息资产得到恰当级别的保护，这也是该层次安全考虑的重要问题。

　　企业可以通过全面落实国家信息、系统等级安全保护，制定信息、系统安全技术基线，明确不同安全等级信息系统安全保护要求，构建起企业信息安全技术防护体系。

　　信息安全运行保障体系

　　建立应急响应恢复机制。充分分析企业当前信息安全面临的严峻形势，制定各运营单位应急响应预案，规范企业应急响应工作内容和工作流程，特别是针对重大危险源的应急响应管理，从人员配备、制度执行、流程梳理、学习培训等方面着手建立信息安全应急响应恢复机制。为确保应急预案执行到位，企业应统筹组织各单位实施应急演练工作，通过该项工作有效提高应急人员处置突发事件的能力，确保信息安全事件应急处置快速到位。同时，根据演练情况对应急预案进行不断修订、完善，确保应急预案的可操作性。使得应急响应恢复工作能够达到以有效预防、及时控制和最大限度地消除信息安全各类突发事件对企业的危害和影响。

　　建立信息安全事件管理机制。企业需要明确企业自身的信息安全事件的定义，配套有效的信息安全事件处理机制，有效监控安全事件，保证安全事件发生时，应急响应是及时的、处理过程是透明的。规范安全事件处置过程，包括控制安全事件的影响范围和损失，收集相关证据，根除安全事件的影响或恢复受影响的信息系统，最后做事后总结分析等步骤。目标是依托信息安全事件管理机制，及时发现和了解安全生产存在问题，掌握安全事件动态，制定切实可行的信息安全事件处理措施，把事故消灭在萌芽状态。降低安全事件给企业业务运营带来的损失和影响，预防安全事件的发生，不断改进安全防护措施。

　　建立信息安全监督检查机制。建立企业信息安全监督检查网络，实现从事后检查向事前预防的转变。坚持归口管理、分级监管、严格问责，加强监督检查，工作中严厉考核违法违规操作。发挥企业各级单位的监督作用，形成多层次、多元化的监督网络。强化日常安全检查，明确企业各级单位的日常安全检查职责，建立有效的日常检查机制，坚持“边检查，边整改”的原则，特别是对信息安全关键环节进行检查督促，对重大危险源、设备等易造成群死群伤事故的关键部位要时刻处在监控、可控状态。对发现的安全隐患及时采取有效措施予以纠正，解决事故隐患，预防和减少各类事故的发生，以实现安全生产网格化监管，落实安全生产责任。为企业经营管理创造一个安全、稳定的环境，为实现信息安全生产长效机制奠定基础。

　　信息安全培训及奖惩体系

　　人是企业信息安全管理工作中最重要的因素，需要做到“人人参与，人人有责，全员共进”。信息安全培训体系的建设始终要坚持企业员工的安全培训工作。通过安全宣传教育、培训、实战演习等方式让员工的安全意识与安全能力得到有效提升。特别是抓好新上岗职工、第三方单位关键人员的安全，对关键人员重点监管、重点培训、重点教育，时刻关注关键人员的思想动态，以便及时采取相应的安全防范措施。同时，不断强化信息安全岗位人员的专业技能与员工信息安全意识。通过建立完善的奖惩体系，实施奖励或处罚措施，鼓励先进、鞭策后进，在体现公平、达到激励作用的同时，提升信息安全管理的效能。

　　信息安全体系的建设不是一蹴而就的，信息安全管理问题是一个系统工程，需要决策层、管理层、技术层的通力配合，从安全组织、制度建设和技术手段等方面着手，不断改进和完善安全管理措施，做到组织、制度建设与安全运行同步，安全运行保障与安全技术配套同步，控制监督与安全培训同步，把安全风险降到最低。信息安全管理体系的建设总体上需要结合企业本身的战略和实际状况，围绕着上述四个体系，按照信息安全管理范围、组织、标准与制度、技术防护、运行保障、培训及奖惩六个方面逐步深化，循序渐进地实施落地，最终构筑起企业积极、综合的信息安全防护体系。

　　（作者单位：中国人寿保险股份有限公司信息技术部）

责任编辑：晓雁