基于生命周期分析信息安全管理体系

数目达到了最高，发现了一千多万个新的恶意软件，而第一季度发现的恶意软件数只有一百万。如果企业对自己的信息进行严密的监控，恶意软件可能会悄悄地潜伏进企业核心计算机，直到儿周或几个月后才发现企业的信息已经被盗走了，企业的损失将是无法估量的。

2.3 移动设备的漏洞

据3M委托进行的《2010年可视数据泄漏风险评估研究》报告指出，多于70％的公司仍然没有制定明确的政策来控制员工在公共场所工作时可以使用哪些设备连接网络。而经常出差的员工需要通过公司外部设备能够随时随地的通过Internet接入公司的网络，从而对公司的信息安全提出了一系列的挑战，员工的笔记本电脑和U盘需要使用2种以上的安全控制手段来实现综合加密，同时企业需要部署和强制执行严格的移动办公安全策略。

另外，硬件技术的发展使得移动介质有能力将海量数据存储到一个便携设备中，并且这些移动设备时常被带出公司。所以IT安全策略应当要求任何通过USB接口移动的数据或使用类似方式来建立连接的介质都必须在加密的基础上进行。而且这些介质类型绝不可以被用来做任何数据的单独拷贝，特别是重要任务或者企业机密，并严格限制它们用于临时性的数据传输。

2.4 对科技过于依赖

许多领导认为装好了顶级杀毒软件或者最新的防火墙，他们的系统安全就有保障了。但实际上，如果防火墙没有正确配置，防病毒软件也没有进行更新和升级，有跟没有是一样。

在特定环境下正确设置防火墙需要很高的技巧。它不是一项设置完就可以丢到脑后的工作，它要比安装杀病毒软件清除恶意软件复杂得多。防火墙需要经常调整以满足最新的要求，当一个新的端口扫描攻击出现时，必须在几周内阻断会受其影响的那些端口，了解最容易被攻击的10个端口，把计算机安全组织SANS的网页加入收藏夹。对于防病毒程序，不仅仅要及时升级，还必须要留意最新的弥补反病毒软件自身缺陷的补丁。

反间谍软件要比反病毒软件简单得多，所以很少需要打补丁。尽管如此，它们也要和反病毒软件一样要注意经常下载最新的数据库文件。最后，如果忽视安全检测程序发出的报告，所有的安全装置都会失去意义。

2.5 内部威胁

前面所谈论的威胁和危险均来自于外部网络，但正如许多企业所了解的那样，最难以防范的安全威胁来自于组织内部。

将公司的整个内部网络按域划分，实现部门级别的权限管理。每个部门内的每个员工在文件服务器上都有互相独立的存储空间。但是如果部门内的员工可以读、更改、删除另一个业务员在文件服务器中文件夹里面的资料，那么威胁同样存在。所以访问权限的设置应该体现实际的安全需求：部门之间禁止互相访问，同时对访问权限加以严格控制，每个访问者进行的操作及其操作对象都应该记录下来。

3 基于生命周期分析信息安全管理体系

为了保障企业的信息安全，就需要建立可靠的信息安全管理体系。而技术是不断发展的，并且机构的业务也经常会发生变化，因此为保障信息安全所使用的管理制度和技术措施也必须发生相应的调整和变化。现在关于信息安全建设已经达成一个共识：它是一个动态的、整体的、持续性的过程，企业不仅要进行安全建设，而且要根据技术的发展和业务的变更不断地进行评估，并在此基础上对已有的安全措施和设施进行调整、完善。

根据对目前信息安全管理体系的调查研究，一般信息安全建设和管理的生命周期分为四个阶段：调研策划，风险评估，设计实施，运行改进。因此，将企业的业务特点与信息安全建设管理的生命周期中的每个环节紧密结合起来，才能构建适合企业的信息安全管理体系。

3.1 调研策划

对企业所处的环境进行调研是建设信息安全管理体系必不可少的工作，它是策划的依据。在这部分工作中，需要深入调查分析企业所处的国内外宏观环境、行业环境、企业所具有的优势与劣势、面临的发展机遇与威胁等。同时分析企业战略目标，理解企业发展战略在产业结构、核心竞争力、产品结构、组织结构、市场和企业文化等方面的定位。在此基础上，通过分析明确上述各要素与信息技术特点之间的潜在关系，从而确定信息技术应用的驱动因素，使信息安全管理与企业战略目标实现融合。

由于安全是相对的，安全技术也是不断发展进步的，因此企业应有一个合理和