信息安全工程监理范文

时间:2023-10-24 17:38:57

导语:如何才能写好一篇信息安全工程监理,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

信息安全工程监理

篇1

关键词:信息安全工程;理论;规范信息

随着信息时代的到来,给人们生活带来了方便,还带来了许多商机,同时各方面的隐患合危险也增加,黑客的攻击也已经逐渐的渗入到了政府机关、军事部门和商业企业等各个角落当中,给人们的日常生活造成了严重的干扰,对国家经济也造成了非常大的损失,严重的话还会对国家的安全造成严重的威胁。现阶段的情况是,大部分企事业单位都在遭受到攻击之后,再进行全方面的防护,然后非常迷茫的等待下一次攻击的到来。网络信息的安全不仅仅是技术方面的问题,也是必须要将策略和管理以及技术进行的有机结合的一个非常重要的过程。

1信息工程的安全理念

信息安全不仅是一项非常绝对的技术,也是一项非常复杂的系统性工程,这些主要指的就是信息安全的工程。其主要利用工程的概念、原理和技术以及方法,然后来对企业的信息和网络系统安全的过程进行深入的研究、开发和实施以及维护,并且必须要经过长期的考验和证明,才能够明确工程实施的流程和管理的技术,信息安全的工程当中的生命周期的模型,也是信息安全工程学当中的一个落脚点和支撑点,并且也是在信息安全工程学中进行重点研究的一项技术。作为一个信息时代的先导和主角,Internet不仅仅是一个让计算机连接起来的一个非常简单的组合体。所以,也可以说In-ternet是人类社会在数字空间中的一个投影。这样的事实都会导致Internet的某些行为的非常异常并且复杂,也非常明显的反映出网络的安全问题是Internet社会性一个非常明显的标注。在Internet发展的短短几年当中,人们对安全的理解,从早期是为了杀毒防毒到后来就是安装防火墙,到现在对相关系列的安全产品进行不断的购买,也是在对安全意识进行了逐渐的加深。

2信息安全工程的五大特性

第一,信息的安全具有着全面性的特点。对于信息各个方面的安全的问题,就必须要进行全方面的综合性的考虑,并且在系统当中的安全程度也对系统中最薄弱的环节有着非常重要和决定性的作用。第二,信息的安全周期性。一个比较完整的安全过程中就必须要包括安全的目标以及对原则的确定、风险的分析、需求的分析、安全策略的深入研究、安全体系结构的研究、安全实施领域的确定、安全技术和产品的测试与选型、安全工程的施工、安全工程的实施监理、安全工程的测试与运行、安全意识的教育和技术培训还有安全稽查与检查以及应急的响应等多个方面,这是在一个实际的过程中,而一个具有完整性的信息安全工程的生命周期,就必须要经过对安全方面进行全方面的稽核和检查之后,才能逐渐的形成新一轮的生命周期,也是不断反复和上升螺旋式一个安全的模型。第三,信息的安全也具有着动态性。我国信息技术不断的发展的同时,黑客的技术水平也在不断的提高,因此,安全策略和安全体系以及各方面安全技术就必须要进行全方面的调整,才能够在最大的程度上对安全系统进行促进,才能够根据实际情况的变化,来充分的发挥作用,从而就可以促使整个安全系统的发展,并且还能够一直处在一个不断更新和完善以及进步的实际动态的过程中。第四,信息的安全要具有层次性,就需要对多层次的安全技术和方法以及手段进行利用,对安全的风险进行分层次以及全方面的化解。第五,信息的安全也具有相对性。各方面安全是比较相对的,但是也没有绝对的安全可言,安全的措施应该和保护的信息以及网络系统的价值进行相应的结合。因此,信息安全工程进行实施保护的时候,要对风险严重的威胁以及防御措施的利弊和得失进行充分合理的平衡,在安全的级别和投资之间,找到一个比较合理能够使企业接受的一个平衡点。只有这样进行实际的施工,才能对信息安全进行有效的保证。

3信息安全工程涉及广泛领域

信息安全工程学,是具有着比较清晰研究范围,其中主要包括了信息安全工程的目标、原则与范围,信息安全风险的分析以及评估的方法和手段及流程,信息安全的需求主要的分析方法,安全的策略,安全体系的结构,安全实施的领域以及安全的相关解决方案。安全的技术和产品的测试以及选型的各个方面的方法,安全工程的实施规范,安全工程的实施监理方法和流程,安全工程的测试和运行,安全意识的教育与技术的培训,安全稽核和检查以及应急响应的技术和方法与流程等等。

4信息安全工程的前景

如果是一个非常系统的工程,那么就必须要对系统工程的观点和方法进行合理的利用。还要对信息安全的问题进行相应的对待和及时的处理。因此,就企业实际情况看,在建立和实施企业级的信息以及网络系统安全体系的时候,必须要对信息的安全进行全方面的考虑,还要必须要兼顾信息网络的风险评估与分析、安全需求的分析、整体安全的策略、安全的模型、安全体系结构的开发、信息网络安全技术标准规范的制定、信息网络安全工程的实施、监理和信息网络安全意识教育以及技术的培训等多个方面,只有这样,才能够实现真正意义上的信息安全系统安全。

结束语

综合上文所述,随着全球信息化在不断进行发展和进步的同时,信息的革命也在各个层面中发展,促进了人类发生了翻天覆地的变化。我国现阶段的信息逐渐发展成具有代表综合国力的战略性的资源,但是信息安全,也成为保证国民经济信息化进程能够健康有序发展的一个非常重要的基础,与此同时,也会对国家的安全造成比较严重的影响。从信息安全工程的角度方面来说,如果对我国的信息安全进行全方面的构建和规范,也将大大的对我国的信息安全系统进行逐渐的稳固,从而对国家信息资源的安全进行保证。

参考文献

[1]王志强,李建刚,颜立,洪建光.电网信息安全等级保护纵深防御示范工程在浙江电力的试点建设[C].2010电力行业信息化年会论文集,2010(7):44-47.

[2]张竹松,大理州人力资源和社会保障信息中心主任.社会保障工作要重视“金保工程”信息安全建设[J].大理日报(汉),2013(11):105-106.

[3]赵俊阁,朱婷婷,陈泽茂.优化信息安全工程课程建设的实践与探索[J].Proceedingsof2011NationalTeachingSeminaronCryptogra-phyandInformationSecurity(NTS-CIS2011)Vol.1,2011(8):55-58.

[4]丁震.2004,信息安全法制建设与理论研究并进———访国务院信息化工作办公室网络与信息安全组副组长吕诚昭[J].信息网络安全,2005(1):66-69.

篇2

关键词:建设工程;安全生产监督管理;信息化建设

前言

当前我国的经济持续发展,带动了我国建筑业的发展,建筑业在我国的经济建设中占有很重要的地位。但是我国的建筑工程在安全生产监督管理中却存在很大的问题,从而发生了多起建设工程安全生产事故,造成了很大的损失。因此必须要加强建设工程安全生产监督管理工作,利用信息化技术来对建设工程安全生产进行管理,增强管理能力,降低事故发生的几率。

1 我国现今建设安全生产信息化建设中存在的问题

现今国家对于建设工程安全生产监督管理工作十分重视,国家制订了很多的政策来促进安全生产信息化建设。主要方面包括建设安全生产事故统计系统,安全生产监督系统以及安全生产信息系统等,以此来提高建设安全生产监督管理水平。由于国家的大力支持,因此在很多的地区都已经开始了建设工程安全生产监督管理的信息化建设,并且都建立了一些信息化的管理平台,为建设工程的安全生产进行了有效的监督管理,在很大程度上降低了事故发生的几率,提高了工作效率[1]。虽然对于建设工程安全生产监督管理的信息化建设已经取得了一些成果,但是我国属于刚刚起步的阶段,有很多相应的设施以及软件开发与国外相比都存在很大的差距,国家的一些政策还不够完善,对于相关研究的技术手段比较落后,并且很多建设单位都没有系统的信息化监督体系,使得单位的安全生产信息化系统性能很差,无法很好的对建设工程进行监督管理。因此,国家必须要加强对建设工程安全生产监督管理的信息化建设,来促进建筑行业的发展。

2 建设工程安全生产监督管理的信息化系统

对于安全生产监督管理信息化系统主要包括六个系统,分别是:①网络系统;②组织管理系统;③行政执法系统;④调度统计应用系统;⑤应急救援应用系统;⑥综合政务信息系统[2]。主要是对这六个系统进行建设。下面对这些系统建设简单的介绍:

2.1 组织管理系统的建设

对于组织管理系统来说,主要包括:①组织保障子系统,主要是指在对各级的安全生产的监督系统进行管理时,必须要以安全生产为基础,保证安全生产信息的稳定安全运行;②制度保障子系统,主要是指各项制度规定的完善,其中包括安全生产信息化建设法规的完善,以及对安全生产信息标准的确立;③运行保障子系统主要是为了保证安全生产信息化建设应用系统的稳定,并且要对相关的操作人员进行培训,以保证能够正确的使用系统。

2.2 网络系统的建设

对于网络系统的建设,主要是包括内网、外网以及相应的网控中心的建设。内网主要是指在建筑单位内部使用的网络,主要包括一些办公自动化平台以及一些安全生产的监管平台等。外网主要是指政务公开网[3]。

2.3 行政执法应用系统的建设

行政执法应用系统的建设主要包括:①相关执法人员管理系统;②重大的危险源监控系统;③事故隐患整改系统;④重大事故备案管理系统等。

2.4 调度统计应用系统

对于调度统计系统的建设主要包括安全生产快报,并且要对相应的时间,比如按季、年、月进行相应数据的上报统计。另外在接到紧急报道的时候,要能够立即进行相应的处理,能够使整个事故处理系统高效运行。

2.5 应急救援系统

对于应急救援系统来说,必须要先建立相应的报警系统,利用报警系统来进行事故的提醒,并且要有预案处理系统,救护资源系统以及救援指挥报告系统等,通过这些系统来实现救援的高效执行。

2.6 综合政务信息系统的建设

主要是对于一些数据加工以及数据传输,政府网站等建设。

3 建设工程安全生产监督管理信息化建设的措施

建设工程安全生产监督管理的信息化主要是利用网络信息技术,来实现管理过程中的数字化、网络化以及智能化,利用计算机技术来加强对安全生产中监督管理的信息化建设。安全生产信息化的建设主要有六个方面:①建设工程安全生产的技术应用;②建设工程安全生产信息资源;③建设工程安全生产信息网络;④建设工程安全生产信息技术产业;⑤建设工程安全生产信息化的智力资源;⑥建设工程安全生产的法律法规[4]。以下对六个要素进行简单的分析。

3.1 建设工程安全生产信息资源

安全生产信息资源是建设工程安全生产信息化建设中的核心,对于安全生产信息资源的开发,必须要结合国家安全生产建设的要求,并且要做到能够面向生产面向企业,并且能够及时对经营管理中的一些问题进行准确的处理,进行相应的分析,从而给出正确的建议。并且对于安全生产信息资源的开发必须要以市场的要求为基础,要突破传统的封闭僵化的状态,建立信息采集加工与的完整体系。同时要制定多种信息采集的方式,组织相应的信息采集队伍,从而实现多层次的信息采集渠道。另外,要与国际劳动安全信息机构保持交流合作的关系,从而实现多层次的加工体系。

3.2 建设工程安全生产信息化建设政策规范

国家必须要完善安全生产的法规以及相关的标准,以安全生产法律法规体系为基础,根据技术标准、计量体系标准来完善相关的安全生产的法规。并且要加强对安全生产体系的研究,进行不断的实践来完善安全生产法规体系,协调安全生产中的关系,利用法律法规来进行相应的约束。随着科技的不断进步,要及时的对安全生产的法规标准进行更新,及时对一些技术落后的工艺进行更新,使技术水平能够跟上时展的脚步,以满足建设工程的安全生产的需求。

3.3 建设工程安全生产信息网络

对于建设工程安全生产信息网络的建设,必须要利用现代化先进的技术,结合以人为本的理念,对安全信息数据以及一些网络资源进行更新建设,从而使安全生产信息平台的功能更加齐全、布局更加合理,可以实现各项资源的共享,使平台上的各种数据信息以及一些资源能够得到高效的保存与利用,从而来促进安全生产水平的提升[5]。

4 结束语

在现今信息技术飞速发展的时代,建设工程安全生产监督管理的信息化建设是必然的趋势,因此,国家必须要加强对安全生产信息化系统的开发研制,从而来保证建筑行业的安全生产,促进我国建筑行业的发展。

参考文献

[1]任宏,兰定筠.建设工程施工安全管理[M].北京:中国建筑工业出版社,2010:30-40.

[2]方东平,黄吉欣,张剑.建筑安全监督与管理[M].北京:中国水利水电出版社,2010:50-60.

[3]巢大同.建立现代化的安全生产信息网络[J].电力安全技术,2013,10(10):30-32.

篇3

[关键词]:信息工程 安全监理 技术

物联网技术通过对高度集成化环境的应用,在一定程度上提高了信息工程整体生产效率,并逐步凸显出信息化、智能化、自动化的生产优势,因而在此基础上,当代企业在可持续发展过程中应着重提高对此问题的重视程度,并注重实现物联网技术的科学应用,以此来为自身发展赢得更大的经济效益。以下就是对信息工程安全监理物联网技术的详细阐述,望其能为当前信息工程项目的有序开展提供有利的文字参考。

一、当前物联网技术应用过程中存在的问题

就当前的现状来看,物联网技术应用过程中存在的问题主要体现在以下几个方面:第一,基于社会不断发展背景下,信息逐渐呈现出多元化的特点,例如,涉及到了国防事业、军事管理、政府部门等领域信息的维护,因而在一定程度上增强了信息安全管理难度。同时,物联技术在应用过程中亦逐渐凸显出节点数量有限、常态化安全监理手段无法直接引入的问题,从而影响到了信息工程项目的有序开展。为此,当代企业在可持续发展过程中为了稳固自身在市场竞争中的地位,应注重引入信息加密手段、数据融合等,同时致力于密钥的形成与开发,继而由此实现安全网络环境的营造;第二,蠕虫病毒的引发亦是物联网技术应用过程中需面临的关键问题,为此,相关技术人员在物联网技术优化过程中应注重强调对节点恶意攻击现象的应对,由此来优化物联网运行空间,规避信息损坏现象的凸显;第三,物联网技术应用过程中凸显出的问题亦表现在节点内隐私问题的暴露,为此,当代信息工程项目在开展过程中应强调对其展开行之有效的处理,即优化信息存储系统,并赋予物联网系统位置信息获取功能,以此来达到最佳的系统运行目的,满足当代社会发展需求。

二、信息工程安全监理物联网技术研究

(一)数据融合

数据融合即为信息交互、信息感知的过程,因而在物联网系统运行过程中若存在网络恶意节点,那么节点在运行过程中将凸显出无法精准辨识信息的问题。同时,亦会在一定程度上影响到下游节点信息的识别及节点信息的有效传递。为此,为了保障物联网系统中信息管理的安全性,要求当代企业在信息工程项目开展过程中应注重强调对网络数据融合中信息安全状况、信息应用程度等层面的判定,继而从根本上规避恶意信息的凸显。此外,在信息工程安全监理工作开展过程中,应注重以抽样的方式,对数据融合过程中的信息进行验证预处理,从而及时发现信息应用过程中存在的问题,并对其展开有效的解决。另外,在物联网系统数据融合过程中,亦应强调提高用户捕捉水平,即实现对数据信息安全性、可靠性的辨识,以此来营造良好的信息传递空间。

(二)路由定位协议设置

物联网系统节点处涵盖着大量隐私信息,为此信息内容的暴露将在一定程度上影响到监测目标的实现。因而,相关技术人员在信息工程操控过程中应致力于安全机制的建构,即对隐私信息形成监测、保护,由此规避信息暴露现象的凸显,并就此满足用户信息使用需求。此外,在信息工程安全监理过程中,为了满足隐私信息保存、处理需求,应注重完善安全协议或路由定位协议,且在协议内容制定过程中明确对节点信息的真实反映及信息位置数据的反馈,从而在此基础上提高物联网系统交互、感知能力,并实现对信息的高效管理。从以上的分析中即可看出,在物联网系统运行过程中强调路由定位协议的设置是非常必要的,为此,应强化对其的有效落实。

(三)物联网技术应用实例

物联技术即基于计算机互联网技术的支撑下,运用物品编码技术、射频识别技术等对产品进行跟踪、追溯。例如,某食品企业在产品生产过程中即涉及到了物联网技术的应用,同时其在信息工程项目开展过程中首先为每个设备配置EPC标签,继而将工程实施阶段的信息反馈至网络中心,便于监理部门透过EPC标签获取到食品原材料到成品生产阶段的所有信息,最终就此实现对产品信息的严格把控。其次,该企业在食品追踪过程中亦涉及到了数据采集、数据库设计、RFID等技术环节,最终营造了良好的信息工程安全监理环境,规避了食品不安全生产行为的凸显,满足了消费者消费需求。从以上的分析中即可看出,物联网技术的应用有助于提高当代人类生活质量,因而应提高对其的重视程度。

三、结论

综上可知,在当前信息工程安全监理过程中仍然存在着隐私信息暴露等问题,影响到了用户对信息的使用、识别,因而在此基础上,为了达到信息安全性、真实性的严格把控,要求当代企业在可持续发展过程中应注重将物联网技术贯穿于信息工程安全监理过程中,继而由此实现对节点信息的自动化、智能化识别,达到信息的有效管理状态,并及时发现信息应用过程中凸显出的问题,对其展开行之有效的处理,提升信息识别精准性。

参考文献:

[1]张云霄,刘宏志.物联网技术在信息工程安全监理中的应用[J].计算机安全,2012,11(01):46-48.

篇4

尽管针对信息系统的监理工作已经开展了多个年头,但是其主要的工作目标仍然集中在以系统集成为代表的信息基础设施建设以及以软件研发为代表的应用系统建设,对于认知度和重要性日益提高的信息安全,监理体系的发展尚有很长的路要走。

作为信息监理体系中的一个分支和必要组成部分,信息安全监理既保有信息监理的基本特征,同时又有很多个性特质,这主要是信息安全本身的特性使然。

在实践中,信息安全不但与通常的监理对象一样具有规划、实施、运营等等清晰的工作周期,而且由于信息安全工作在变更、响应、教育方面的高要求,使得信息安全监理在开展过程中需要关注更多的问题。处理好这些问题,信息安全才能真正保障。

认识篇:安全监理 并不遥远

基于多年对信息技术产业的关心和促进,我国已经形成一系列的法规、条例和标准用于信息领域相关工作的规范和管理。针对信息安全领域,于1994年2月18日的《中华人民共和国计算机信息系统安全保护条例》,是我国信息系统安全体系的核心法律依据;而作为GB17859-1999国家标准的《计算机信息系统安全等级保护划分准则》则为我国的信息安全工作提供了标准上的支持。特别是2006年上旬公安部的《信息安全等级保护管理办法(试行)》,也称7号文件,其中针对不同等级的信息系统明确的在监管和监管资质方面进行了规定。这些法规标准的出台和实施为信息安全的监理工作提供了有效的生长环境,同时也预示着信息安全监理的大幕正在拉开,通过第三方的监理手段提高信息安全工作有效性正成为产业中一股新的力量。

重视实施

在信息安全工作体系当中,监理可以发挥极为重要的作用,有效的监理工作可以节约资源并保障信息安全工作的顺利开展。

在实施信息安全的过程中,监理机制可以保障安全特性与系统核心的工作目标适配,避免安全目标与系统目标之间发生冲突。即使对于信息安全本身,其保密性、完整性和可用性三大基本要求之间也存在着潜在的冲突,例如,在很多时候为了提高保密性的要求而可能会损害到信息的可用性,这些问题的权衡和建议体现了监理工作在整个系统体系设计层次的作用。

基于资源有限这一基本原理,在实施信息安全工作的过程中一个非常重要的问题在于使用合适的资源对不同类型的信息资产进行保护。很多信息安全工程或是没有分清保护的重点,或是对某些信息资产投放了过度的资源,这对于系统的安全乃至系统本身的运转都会造成不良影响。监理机制能够在资源调配上起到监管作用,从设计阶段就发现信息安全系统中潜藏的缺陷。

作为监理机制最重要的作用之一,监督信息安全的实施过程是信息安全监管的重中之重。即使拥有完善的信息安全系统设计也并不能保证信息安全工作的成功,保证实施方按照设计方案正确的进行实施与对设计方案的分析一样重要。在很多信息安全工程中存在着执行不利的问题,监理工作非常适合在执行过程中的发挥保障作用,在这类相对确定且可变性较低的层面可以充分发挥监理的标准化能力及管理能力。

从规范到管理

众所周知,在信息安全体系中管理制度和人员的因素与其它信息工程相比要占据更重要的地位。从信息安全制度规范的实施到安全意识技能培训,往往受制于企业内部的阻力。通过监理的形式促进这些工作的开展,除了可以有效的提高信息安全工作的质量,同时还可以推进整套工作的进展。

一个容易被忽视的信息安全问题是信息安全体系建设完成之后的管理,在一个信息安全系统建设完成之后并不代表着工作的结束,运营过程中的监管是不容忽视的。一个应用系统层面的变更带来的往往是生产力的促进和提高,而这种变更所带来的安全层面的变更往往会对信息安全体系造成巨大的破坏。所以在信息安全体系建设之后的生命周期当中,监理机制仍能够起到重要作用,保证信息安全工作的延续性。

对比篇:拨开安全监理与审计的迷雾

审计通常是指审计方在接受委托后,通过收集各种信息和证据从而对审计目标是否达到了预先设定的目标进行判断和指导,延伸到信息安全领域就是通过对计算机系统的数据进行记录和检验从而了解系统是否达到了要求的安全指标。而依照《信息系统工程监理暂行办法》,信息系统监理是指依法设立且具备相应资质的监理单位受托依据国家有关法规和标准对信息系统工程项目实施监督及管理。从概念上分析,这两种服务的目的都在于降低信息系统工程实施过程中的风险,从基本出发点上是完全相同的。

走出概念的误区

在实际的工作范畴以及作用等方面,监理和审计并不完全相同。

就一个信息安全体系来说,本身就需要记录充分的信息予以存档留待需要时分析,这也是审计机制中最核心的鉴证功能。但是一个成熟的信息审计过程并不仅仅如此,更重要的是通过第三方的力量对目标信息的真实性、完整性、可靠性进行验证,从而为决策行为提供充分有效的证明。从不同的视角对一个安全系统进行分析,可以更加真实的还原信息系统的安全现状,同时可以利用审计机构所具备的知识和经验,完善系统设计,以提高实施成功率。

从这一点来看,信息安全审计服务与信息安全监理服务的作用有一定的交叉性。而在此基础之上,信息安全监理还具有一些信息安全审计不具备的职能。首先信息安全监理需要履行监管的职责,也即不仅仅象信息安全审计过程一样要进行咨询、分析、建议,还要对整个安全体系的实施乃至运行采取强于审计工作的控制,以第三方的力量稳定项目发展的轨道。另外,信息安全监理还需要在项目开展过程中协调客户与实施方等多方之间的关系,保证参与方确实的履行合同条款,去除隐藏的欺诈行为。也就是说信息安全监理更侧重于项目成功的保障,而信息安全审计更侧重于信息的可信性。

值得一提的是,在针对项目范畴的信息审计在关注信息可信的基础上也包含了对信息系统有效性的审计,集中体现于对项目完成后系统运营状态的审计,在对于这一生命周期的关注上信息安全审计要强于信息安全监理。

正确实践

在实际的信息安全项目当中,信息安全监理与信息安全审计也有很多区别,集中体现于工作主体上的差异。

对于监理来说,必须由第三方完成相关工作,否则就失去了公正性和监管力。而对于审计来说,除了聘用外部机构对系统的安全性开展审计工作之外,很多情况下审计工作也可以由组织内部的信息安全团队完成。在通常情况下,基本的信息安全审计都是由内部人员定期执行并向管理层进行反馈,利用外部力量进行审计的情况相对较少,这也与国内用户对第三方审计的认知不够有关。

另外,审计和监理服务所面向的服务对象也有一定的差异。信息审计所具有的公证性目标,在执行信息安全审计时往往服务于类似管理层这样发起审计要求的局部对象。而信息安全监理则往往服务于用户和实施方两方,即使在特定情况下监理机制作用于组织内部的不同部门和层级,也具有作用多个对象的特征。

总体来看,在作用方面信息安全监理与信息安全审计处于相互融合、互相支撑的关系。在一个成功的信息安全项目当中,两者的作用都不容忽视,应该根据具体需要进行具体选择,并开展符合实际应用环境的具体应用。

实践篇:安全规划 重在督导

缺乏规划性是很多信息安全项目失败的主因,所以监理机构有责任向用户提出实施规划方面的建议。建议的方面有很多,而主要的原则面则基于成熟的信息安全项目操作经验。

安全原则不容忽视

首先我们要在规划制订过程中树立以人为本的意识,对计算机系统进行安全管理要充分结合对人的管理。授权最小化是安全管理的核心原则之一,保障权限授予的合理并减少冗余是任何安全体系成功的基础。

另外,在安全规划中不能忽视却常常被忽视的一个问题就是物理安全,协助用户分析如何管理各种存储介质,完善用户所在建筑物的安全管理,都是在监理工作过程中需要注意的问题。

对于安全事件的响应也是监理应该重点关心的方向,很多用户的信息安全体系具有完善的保护计划,但是在执行保护工作的过程中却常常因为缺乏健全的响应计划而导致信息资产的损失。特别是对于那些服务范围只涉及建设过程的监理,如果在规划阶段忽视了运营过程中的响应机制,就会给客户遗留一个缺乏后续保障的安全体系。

除此以外,还有很多问题值得关注,但相对来说有更多的范例可以借鉴,同时也更加容易通过规范来保障。信息安全监理应该在全局掌握的基础上,重点关注那些相对容易忽视、可变性较高、人员协调需要较强的范畴。

有效沟通是保障

规划的建立只是开始,在整个信息安全监理工作过程中,应该通过与用户的充分沟通,形成一套切实可行的安全管理制度。一般常见的安全管理制度包括了权限管理、操作规章、定期检测制度、信息分级、信息销毁、介质管理、响应计划、变更管理、员工培训等等。在形成制度的同时,一个更加不容忽视的问题在于制度的学习和实践,这也是监理机构发挥督管作用的重要阵地。

在实际工作过程中,制度的推行往往在客户方遇到一定的阻碍,而面对这种阻碍,往往会导致实施方降低项目的推进力。在这种情况下,监理方应该及时、确实的把握双方的思维动向,缓冲双方之间的矛盾,以便于达到项目协调的作用。

另外,监理方还应该对照双方确认完成的制度条款,通过检验手段保证安全管理工作能够顺利实施。这样既能够保证用户得到有效的安全保护系统,同时也是对实施方的工作成果负责,在此基础上监理方才能对双方的利益开展协调。在监理工作当中还有一个需要高度重视的问题,那就是监理方本身对于制度的遵守和执行。

作为用户与实施方的媒介,监理方必须严格依照实现制订的标准完成监理工作,这是获得信任的基础。同时监理方也应该尽力遵守用户和实施方之间的协议以及制订出的制度(例如进场制度),只有得到两方的尊重,才能顺利保证监理工作的开展。

教育在信息安全体系中的重要性已无需多言。信息安全所包含的知识跨越了很多领域,既有计算机技术,又覆盖了安防意识的范畴,而且还包含了诸如物理安全、社交工程学等很多与计算机科学没有直接联系的内容。