随着各大企业和机构信息安全问题的日益突出,信息安全防护成为新的关注点,这也是ISO/IEC 27001:2013标准体系的要求。信息安全防护管理核心是技术、管理、制度的防范。
一、技术防范
技术防范是信息安全防护管理的主要手段,其主要采用的方法有恶意软件防范、数据备份、密码技术、日志监控、通信安全控制、技术脆弱性管理等。以技术脆弱性管理为例,应遵循“最低权限”原则,即只安装业务发展和服务必须的软件,并要考虑所安装的软件间的兼容和冲突,尽量安装少的、兼容的软件。
二、管理防范
信息安全防范是一个整体的、体系化的工程,是技术与管理的有机结合体,其中管理尤其起了重要的作用。为了减少人为因素带来的损失,应重点围绕“人”这一因素,从提高安全意识、规范信息行为、访问信息控制、信息行为审计、违规行为处罚等多个角度制定详细的管理规程,使“人”明确自己的责任,规范自己的行为,从而起到安全防范的作用。
三、制度防范
制度防范是信息安全防范的重要手段之一,应从整体信息安全出发,针对信息安全面临的威胁和薄弱点制订系统化、体系化的安全防范制度,以规范信息管理,降低信息安全风险。信息安全制度应包括服务器管理制度、存储设备管理制度、网络管理制度、数据库管理制度、数据备份制度、密码管理制度、介质安全管理制度、档案文件管理制度、信息资产生命周期管理制度等。信息安全制度要尽量全面、科学、细致、规范。
