信息安全管理,涉及安全,也涉及管理,從本質來說屬於管理範疇,但管理的內容與對象又是安全,所以脫離安全談管理也沒有意義。提到信息安全管理,大部分人甚至很多安全從業者,可能想到是信息安全相關的制度、規範與程序,在國內普遍重技術、輕管理的大環境下,這也導致很多人對信息安全管理有點不屑壹顧,其實這是由於沒有充分理解管理的內涵所造成的。
信息安全管理中的「管理」英文是Management,如果對其含義進行壹個定義,通俗的講就是:通過某些特定的手段,達到有效的結果。信息安全的目的就是保護信息資產安全,保障業務穩定運行;信息安全手段則包括人(People)、流程(Process)、技術(Technology),俗稱PPT。
1、信息安全管理目的從宏觀來講是保護信息資產安全,保障業務穩定運行,這是放之四海而皆準的;具體來講是保護信息資產的保密性、完整性和可用性,即CIA,也有信息安全等於CIA的說法。今天將信息安全管理的三個手段進行壹個簡單的解釋。
2、人,是三個手段裏面最為核心的壹個,強調的是信息安全管理過程中人的知識、技能、經驗,以及對信息安全的理解與認知。信息安全是壹項專業性比較強的工作,想要達到信息安全管理目的,就需要壹支職業素養很強的專業團隊。同時,信息安全又與每個人都密切相關,任何人疏忽大意都可能導致信息安全事件的發生,提高每個人對信息安全的認知也尤為重要。
3、技術,是三個手段裏發展最快、應用最廣的壹個,技術應用能夠大大提高工作效率,將人的主要精力從繁瑣的重復性的事務中解放出來,發揮更大的主觀能動性,創造更大的價值。同時技術相對而言也更可靠,這裏的可靠有兩層意思,壹個是技術不會疲勞犯錯,另外壹個是技術不會騙人。所以大部分時候,相對於其它手段,人們對技術更加青睞。
4、流程,是三個手段裏實施周期長、見效慢、失敗率高的壹個,也是壹旦積累到壹定程度就會發揮巨大威力的壹個。流程在信息安全管理中的作用,可以作為其它兩個手段的補充,輔助使之應用的更好、發揮的作用更大,提高信息安全管理的效率與效果。另壹個方面,流程也可以作為主導,引領信息安全管理的方向,為其它手段應用提供指導。關於流程(Process)手段,以後專門針對過程管理再做詳細說明。
總得來講,這三種手段都有自己的特點與優勢,沒有哪個好哪不好之說,只要達到管理的具體目的就是好的;同時呢,不同手段之間也可以相互的配合使用,就目前來講三種手段之間的界線也越來越模糊,相互融合是趨勢。