信息安全管理中“管理”的英文單詞是Management。如果我們定義它的含義,壹般來說,通過壹些特定的手段可以達到有效的效果。信息安全的目的是保護信息資產的安全,保證業務的穩定運行;信息安全手段包括人、流程和技術,俗稱PPT。
1,信息安全管理的目的是保護信息資產的安全,保證業務的穩定運行,具有普遍適用性;具體來說就是保護信息資產的機密性、完整性和可用性,也就是CIA,還有壹種說法是信息安全等於CIA。今天就簡單講解壹下信息安全管理的三種手段。
2、人,是三種手段中最核心的,強調信息安全管理過程中人的知識、技能和經驗,以及對信息安全的理解和認知。信息安全是壹項專業性很強的工作。要達到信息安全管理的目的,需要壹支專業性很強的專業團隊。同時,信息安全與每個人息息相關,任何人的疏忽都可能導致信息安全事件的發生,因此提高每個人的信息安全意識尤為重要。
3.技術是三種手段中發展最快、應用最廣泛的。技術的應用可以大大提高工作效率,把人們的主要精力從繁瑣重復的事務中解放出來,發揮更大的主觀能動性,創造更大的價值。同時技術相對更可靠。這裏的可靠性有兩層意思,壹是技術不會因為疲勞而出錯,二是技術不會騙人。所以很多時候,比起其他手段,人們更喜歡技術。
4.流程是三種手段中實施周期長、見效慢、失敗率高的壹種,壹旦積累到壹定程度也會發揮巨大的威力。流程在信息安全管理中的作用可以作為其他兩種手段的補充,有助於使其更好地應用和發揮更大的作用,提高信息安全管理的效率和效果。另壹方面,該流程也可以引領信息安全管理的方向,為其他手段的應用提供指導。關於流程的手段,我們將在以後的流程管理中詳細說明。
總的來說,這三種手段各有特點和優勢,沒有好壞之分,只要達到管理的特定目的,就是好的;同時,不同的手段也可以相互配合。目前三種手段的界限越來越模糊,相互融合是趨勢。