信息安全與網(wǎng)絡安全實踐的差異性

1.1 信息安全與網(wǎng)絡安全對業(yè)務安全的影響

對于任何一個組織來講，重要的就是其核心業(yè)務能夠安全、穩(wěn)定、有序開展。在當前信息化時代背景下，信息成為了一個組織機構重要的資產(chǎn)，信息安全對組織的業(yè)務安全有至關重要的影響。例如，911事件中很多企業(yè)的倒閉不是因為人員的缺少，而是因為企業(yè)的所有信息的丟失，造成企業(yè)業(yè)務無法繼續(xù)開展下去；個別企業(yè)因為企業(yè)內(nèi)部的商業(yè)秘密信息（如工藝參數(shù)、客戶信息等）泄露而導致企業(yè)業(yè)務的衰退和企業(yè)的倒閉。而網(wǎng)絡安全對業(yè)務安全也有重要的影響，但對大多數(shù)組織來說，網(wǎng)絡安全性遭到破壞，可能會使其業(yè)務出現(xiàn)一段時間的停頓，或?qū)I(yè)務的發(fā)展產(chǎn)生負面影響，但不會產(chǎn)生致命的影響，而信息的安全性遭到破壞時則可能會對組織的生存和發(fā)展產(chǎn)生致命的負面影響。從范圍來講，業(yè)務安全中包含信息安全，網(wǎng)絡安全也是信息安全中的一部分。

1.2 信息安全目標與實踐的差距

目前，各個組織、各級領導都深刻認識到信息安全的重要性，從制度層面、宣傳教育層面等也總是強調(diào)信息安全的重要性，但是在實踐工作中卻經(jīng)常將“信息安全”與“網(wǎng)絡安全”的工作相混淆，造成了信息安全工作的有效性受到一定程度的限制。主要體現(xiàn)在：

（1）從人才來講，真正的信息安全人才及其缺乏。要真正做到廣義上的信息安全，做到“技管并重”，而當前能夠滿足于組織要求的既懂信息安全技術，又懂信息安全管理的人才很少，遠遠無法滿足組織的需求。

（2）從投入來說，由于很多領導認為“信息安全”與“網(wǎng)絡安全”是一回事，只要做到了網(wǎng)絡安全，就能信息安全。同時，網(wǎng)絡安全的產(chǎn)出效果較為明顯，因此常常為了網(wǎng)絡的安全性投入了大量的人力（系統(tǒng)運行維護管理人員）、財力（采購設備和服務），而為信息的安全性所做的投入相對較少，配備的人員和技術手段相對有限。

（2）從內(nèi)部機構設置來說，對于大多數(shù)組織來說，信息安全工作與網(wǎng)絡安全工作是同一個團隊負責，而且在組織內(nèi)部處于相對弱勢地位，通常作為一個服務團隊而存在，信息安全管理工作無法真正有效落實，其管理效力無法得到。

1.3 加強信息安全管理

為了提升組織內(nèi)部的信息安全防護能力，在組織內(nèi)部真正做到“技管并重”，應將信息安全工作與網(wǎng)絡安全工作區(qū)別對待，提升信息安全團隊在組織內(nèi)部的地位，強化信息安全管理的效力，將信息安全保護工作提升到組織的戰(zhàn)略層面。具體內(nèi)容包括：

（1）提升信息安全到組織的戰(zhàn)略層面。信息安全是一個組織的職責，而不僅僅是一個內(nèi)部IT部門的職責。信息安全的責任主體是一個完整的組織，而不是組織內(nèi)部的IT部門。雖然IT部門控制管理著大多數(shù)的信息資產(chǎn)，它亦是信息安全管理的重中之重，但它仍然有著很大的局限性，它無法定義組織層面的戰(zhàn)略，無法定義信息的重要敏感等級，沒有權力決定什么信息可以受控或復制分發(fā)，這一切服從更高的策略與目的，即整個組織（業(yè)務）的戰(zhàn)略目的與需要，所以不能僅僅站在IT視角去考慮信息安全，需要考慮組織的需要，業(yè)務的需要。網(wǎng)絡安全工作可以和信息化工作一起，作為為組織內(nèi)部業(yè)務工作提供支撐服務的形式存在，而信息安全關系到組織的生存和發(fā)展，提升到組織的戰(zhàn)略層面加以規(guī)劃和設計，以確保組織業(yè)務安全。

（2）分離信息安全團隊與網(wǎng)絡安全團隊。網(wǎng)絡安全工作可以以一個服務團隊的形式存在，既可以由組織內(nèi)部人員承擔，是組織內(nèi)的一個技術服務部門，也可以外包給第三方技術服務機構；而信息安全工作作為一個組織不可推卸的做人，應成為內(nèi)部管理團隊，而不是內(nèi)部服務部門。在這一方面，在涉及國家秘密的組織機構內(nèi)部的國家秘密信息安全保密管理方面取得了良好成績。

（3）提高信息安全機構在組織內(nèi)的地位。信息安全工作不是一項完全立的工作，而是與組織內(nèi)的各項業(yè)務工作緊密結(jié)合在一起的，包含的不僅僅是技術層面的信息網(wǎng)絡系統(tǒng)中所傳輸、處理和存儲的信息安全，還包括在組織內(nèi)部各項業(yè)務工作開展過程中的所涉及到的信息的安全，因此信息安全團隊在組織內(nèi)部就不應該只是一個服務團隊，而應是一個能夠涵蓋組織內(nèi)所有工作層面的職能管理團隊，這樣才能將信息安全工作與業(yè)務工作進行有效融合，在組織內(nèi)部有效開展信息安全管理工作，信息安全。在國外，作為組織高領導之一，信息安全官（CISO）制度已經(jīng)形成一個較為全面的制度體系[4]，并在組織機構的信息安全工作中發(fā)揮著積極作用，而國內(nèi)的CISO還處在初級階段，遠未達到信息化主管（CIO）的高度。

雖從事的方向不一樣，但兩者息息相關，迎合安全市場趨勢，IT人才應盡早拿到相關證書，贏取信息安全行業(yè)高薪職位敲門磚！</a>

查看全部介紹