资产管理和风险管理等方面,加强安全保密管理的力度,使管理成为信息安全保密工作的重中之重。Р技术管理主要包括对泄密隐患的技术检查,对安全产品、系统的技术测评,对各种失泄密事件的技术取证;制度管理主要是指各种信息安全保密制度的制定、审查、监督执行与落实;资产管理主要包括涉密人员的管理,重要信息资产的备份恢复管理,涉密场所、计算机和网络的管理,涉密移动通信设备和存储设备的管理等;风险管理主要是指保密安全风险的评估与控制。Р现有的安全管理,重在保密技术管理,而极大地忽视了保密风险管理,同时在制度管理和资产管理等方面也存在很多问题,要么是管理制度不健全,落实不到位;要么是一些重要的资产监管不利,这就给失窃密和遭受网络攻击带来了人为的隐患。加强安全管理,不但能改进和提高现有安全保密措施的效益,还能充分发挥人员的主动性和积极性,使信息安全保密工作从被动接受变成自觉履行。Р七、信息安全保密的工作能力体系Р将技术、管理与标准规范结合起来,以安全保密策略和服务为支持,就能合力形成信息安全保密工作的能力体系,如图4所示。该能力体系既是信息安全保密工作效益与效率的体现,也能反映出当前信息安全保密工作是否到位。它以防护、检测、响应、恢复为核心,对信息安全保密的相关组织和个人进行工作考评,并通过标准化、流程化的方式加以持续改进,使信息安全保密能力随着信息化建设的进展不断提高。Р八、结论Р技术与管理相结合,是构建信息安全保密体系应该把握的核心原则。为了增强信息系统和信息网络的综合安全保密能力,重点应该在健全上述保密体系,尤其是组织体系、管理体系、服务体系和制度(技术标准及规范)体系的基础上,规范数据备份、密钥管理、访问授权、风险控制、身份认证、应急响应、系统及应用安全等管理方案,努力提高系统漏洞扫描、信息内容监控、安全风险评估、入侵事件检测、病毒预防治理、系统安全审计、网络边界防护等方面的技术水平。参考
全文预览
