淺談信息安全管理的有效性測(cè)量方法論文

　　在21世紀(jì)的社會(huì)發(fā)展新時(shí)代，網(wǎng)絡(luò)、計(jì)算機(jī)、信息技術(shù)被大量的企業(yè)納入到自身的生產(chǎn)經(jīng)營(yíng)管理之中，在基本運(yùn)行中會(huì)涉及到企業(yè)眾多的機(jī)密文件和信息，直接關(guān)系的企業(yè)的發(fā)展運(yùn)行，所以，一旦出現(xiàn)安全問(wèn)題就會(huì)對(duì)企業(yè)產(chǎn)生重要的影響。

　　所以，在不斷深化的應(yīng)用中，企業(yè)開(kāi)始注重對(duì)信息安全的管理，并通過(guò)多樣化的技術(shù)手段和方式來(lái)進(jìn)行強(qiáng)化，但是這樣的方式?jīng)Q定了對(duì)安全管理的有效性不能進(jìn)行合理的把握和控制，并且對(duì)整體的安全水準(zhǔn)也沒(méi)有實(shí)現(xiàn)準(zhǔn)確的衡量。所以，如果企業(yè)只是強(qiáng)化了信息安全在技術(shù)方面的建設(shè)，而并沒(méi)有開(kāi)展有效的安全管理評(píng)估工作，就會(huì)使信息安全系統(tǒng)在整體的規(guī)劃中存在缺陷和漏洞，所以，進(jìn)行信息安全管理的有效性測(cè)量是極為重要的。

　　企業(yè)也逐漸認(rèn)識(shí)到其重要性，使得近年來(lái)，我國(guó)企業(yè)對(duì)于信息安全有效性的測(cè)量需求不斷增多，但是，在這方面我國(guó)起步較晚，存在著很多不足和缺陷，這就需要在有效的研究中尋找適當(dāng)?shù)姆椒▉?lái)提升測(cè)量的整體有效性。

　　一、信息安全管理有效性測(cè)量的目的

　　通過(guò)實(shí)現(xiàn)有效性的測(cè)量，能夠真實(shí)評(píng)估和反映企業(yè)信息安全管理的整體水平，以使企業(yè)在后續(xù)的信息安全管理中有明確的發(fā)展目標(biāo)和整體方向。企業(yè)進(jìn)行信息系統(tǒng)的建立時(shí)，往往會(huì)依據(jù)企業(yè)自身的發(fā)展需求、信息組成、安全標(biāo)準(zhǔn)、組織結(jié)構(gòu)、利益關(guān)系等方面的需求進(jìn)行，進(jìn)而構(gòu)筑相應(yīng)的信息安全的整體體系和相關(guān)模型。

　　通過(guò)對(duì)企業(yè)的信息安全管理進(jìn)行有效性的測(cè)量，可以在技術(shù)的管理支撐下客觀真實(shí)的反映企業(yè)信息管理的整體性評(píng)估，會(huì)能實(shí)現(xiàn)對(duì)企業(yè)信息安全管理目標(biāo)的運(yùn)行程度進(jìn)行說(shuō)明，并能對(duì)企業(yè)信息安全管理的系統(tǒng)效能開(kāi)展準(zhǔn)確科學(xué)的評(píng)測(cè)，為企業(yè)提供進(jìn)行信息安全管理考核的基本依據(jù)[1]。

　　就企業(yè)的整體發(fā)展實(shí)際來(lái)看，如果不開(kāi)展信息安全管理的有效性測(cè)量，會(huì)使企業(yè)的整體管理水平只依賴于基本測(cè)評(píng)狀態(tài)下的運(yùn)行管理水平，難以同真實(shí)的信息安全運(yùn)行環(huán)境相脫離，造成企業(yè)在安全管理過(guò)程中的漏洞和誤差，使得企業(yè)在正常的運(yùn)營(yíng)和發(fā)展中的實(shí)際需求同所進(jìn)行信息安全管理的整體水平不相一致，并且在對(duì)基礎(chǔ)環(huán)節(jié)下的表面數(shù)據(jù)有所依賴時(shí)，并不能發(fā)現(xiàn)運(yùn)行中的不足和缺陷，更遑論進(jìn)行有效合理的解決，極大化的為企業(yè)的發(fā)展運(yùn)行埋下了信息安全的運(yùn)行隱患。

　　而通過(guò)有效性的測(cè)量活動(dòng)，能夠準(zhǔn)確的將企業(yè)在信息安全方面的漏洞進(jìn)行定位，并且還能夠有效指導(dǎo)基本的解決策略，有效保障企業(yè)信息管理系統(tǒng)的整體安全和有效。

　　二、信息安全管理有效性的測(cè)量方法

　　在開(kāi)展信息安全管理有效性的測(cè)量時(shí)，需要對(duì)進(jìn)行測(cè)量的指標(biāo)進(jìn)行量化的處理，并最終形成具有實(shí)際可行性的量化測(cè)量指標(biāo)。在測(cè)量中，不同的指標(biāo)則需要不同的測(cè)量方法來(lái)進(jìn)行，一般而言，具有風(fēng)險(xiǎn)分析、問(wèn)卷調(diào)查、內(nèi)部審核、滲透性測(cè)試、個(gè)人訪談、內(nèi)外對(duì)比、風(fēng)險(xiǎn)評(píng)估、報(bào)表統(tǒng)計(jì)等不同的方法。

　　通過(guò)不同指標(biāo)的不同測(cè)量之后，能夠得得出各個(gè)指標(biāo)的測(cè)度結(jié)果，在此基礎(chǔ)上再根據(jù)不同的技術(shù)需要對(duì)結(jié)果進(jìn)行科學(xué)有效的取值管理，給各個(gè)指標(biāo)賦予不同的安全分險(xiǎn)權(quán)重，然后綜合計(jì)算企業(yè)信息安全管理有效性的整體水平[2]。比如在進(jìn)行信息安全管理整體運(yùn)行的有效性測(cè)量時(shí)，在對(duì)基本技術(shù)要求進(jìn)行測(cè)量評(píng)估時(shí)，還需要對(duì)企業(yè)的環(huán)境安全、人員安全、業(yè)務(wù)聯(lián)系、安全意識(shí)、事件管理等開(kāi)展管理有效性的評(píng)估，以保障最終結(jié)果的綜合有效性。

　　在信息安全管理有效性的測(cè)量發(fā)展中，相關(guān)專業(yè)機(jī)構(gòu)提出了同通過(guò)整體的系統(tǒng)模型來(lái)實(shí)現(xiàn)信息系統(tǒng)的整體安全性的方法。通過(guò)信息安全測(cè)量模型的建立，將信息系統(tǒng)運(yùn)行中需要進(jìn)行安全檢測(cè)的對(duì)象中的某一些屬性在通過(guò)一系列的檢測(cè)管理過(guò)程之后，得出最后的測(cè)量結(jié)果，其中最為重要的就是測(cè)量方法和基本測(cè)度。將測(cè)量對(duì)象的多個(gè)屬性應(yīng)用不同的測(cè)量方法之后就能夠得到基本測(cè)度，而基本測(cè)量方法的獲取是通過(guò)多樣化的數(shù)據(jù)資源進(jìn)行測(cè)量對(duì)象的數(shù)據(jù)獲取，比如風(fēng)險(xiǎn)評(píng)估結(jié)果、日志報(bào)表統(tǒng)計(jì)記錄、調(diào)查表、測(cè)量結(jié)果等途徑。

　　就我國(guó)當(dāng)前進(jìn)行信息安全管理有效性測(cè)量的方式而言，在設(shè)定環(huán)節(jié)相對(duì)復(fù)雜和冗余，但在基本的項(xiàng)目實(shí)踐中得出如下的基本運(yùn)行方法：

　　2.1審計(jì)監(jiān)控系統(tǒng)回顧

　　在進(jìn)行檢測(cè)時(shí)，需要盡可能的發(fā)現(xiàn)各個(gè)環(huán)節(jié)所存在違反和潛在信息安全的現(xiàn)象和事件，以實(shí)現(xiàn)有效的防治，實(shí)現(xiàn)影響的最小化[3]。

　　2.2糾正預(yù)防措施驗(yàn)證

　　對(duì)已經(jīng)納入整體有效性測(cè)量計(jì)劃的糾正預(yù)防措施，在開(kāi)展檢測(cè)時(shí)進(jìn)行檢查和回顧，以保證檢驗(yàn)過(guò)程中對(duì)于信息安全管理系統(tǒng)所采取的各項(xiàng)措施是否合乎當(dāng)下的現(xiàn)狀和企業(yè)具體要求。

　　2.3信息安全事故統(tǒng)計(jì)

　　主要是對(duì)已經(jīng)發(fā)生過(guò)的安全事件進(jìn)行統(tǒng)計(jì)和分析，以為檢測(cè)的有效性提供更加高效合理的方法指引，以實(shí)現(xiàn)進(jìn)行更高角度的評(píng)估以及在控制措施方面的有效性。

　　這樣的方式是將基本的計(jì)劃和檢測(cè)方式實(shí)現(xiàn)了有效的結(jié)合，并在各種方法的支撐下，實(shí)現(xiàn)綜合型的檢測(cè)，做到有效的預(yù)防和糾正，從不同的層面反應(yīng)了進(jìn)行信息安全檢測(cè)的有效性，并保障整體運(yùn)行體系的完整有效性，進(jìn)而形成一個(gè)有效的良性循環(huán)。

　　三、結(jié)束語(yǔ)

　　就我國(guó)的整體實(shí)際而言，信息安全管理有效性的測(cè)量方法，還處于基礎(chǔ)的起步階段，而且相關(guān)的各項(xiàng)理論研究和測(cè)量指標(biāo)等也均沒(méi)有達(dá)到完善的階段，這就需要進(jìn)行不斷的發(fā)展和探索，而且實(shí)踐證明，進(jìn)行信息安全管理有效性的研究是有著極為廣闊的發(fā)展前景的，在保障整體信息運(yùn)行管理的安全性基礎(chǔ)上，能夠使企業(yè)提升整體的競(jìng)爭(zhēng)力和自身生存能力，并且能夠?qū)�測(cè)量中發(fā)現(xiàn)的問(wèn)題和相關(guān)數(shù)據(jù)進(jìn)行分析，然后具有針對(duì)性的使企業(yè)所存在的風(fēng)險(xiǎn)得到最大化的控制，最終達(dá)到基本業(yè)務(wù)的正常有效運(yùn)行。

【淺談信息安全管理的有效性測(cè)量方法論文】相關(guān)文章：

信息安全管理論文06-21

信息安全管理論文(經(jīng)典)06-23

淺談?dòng)?jì)算機(jī)信息安全技術(shù)及防護(hù)措施論文01-01

電子檔案信息安全管理分析論文02-15

淺談煙葉倉(cāng)庫(kù)施工的安全管理論文12-03

淺談美術(shù)館展覽職能行使的有效性論文06-06

淺談飯店安全管理03-07

淺談班級(jí)管理論文08-15

淺談設(shè)備安全在本質(zhì)安全管理中的重要性工學(xué)論文11-18

信息安全管理論文參考文獻(xiàn)02-14