传统的信息安全研究,关注的焦点主要停留在技术层面上。国内外的不少机构和学者从技术层面对信息安全的基本概念、基本技术、体系结构以及发展战略等方面也进行了较为深入的研究,为信息安全工作奠定了很好的基础。但是,现实世界的任何系统都是由复杂的要素构成的,信息安全问题单纯依靠技术手段是解决不了的。信息安全建设应是一个系统工程,其主体应该是人(包括用户、团体、社会和国家),把信息安全管理与信息安全技术手段结合起来,对系统中的各个环节进行统一的规划和综合考虑,并要兼顾环境和系统内部不断发生的变化,建立系统化的管理体系。信息安全建设不仅是一个技术问题,更是一个管理问题。据有关机构统计表明:网络与信息安全事件大约有70%以上的问题是由管理因素造成的,诸如政策法规的不完善、管理制度的不健全、安全意识的淡薄和操作过程的失误等,这正应了十几年前国家863 CIMS专家组“三分技术,七分管理”的箴言。即便有好的安全设备、系统和技术,若没有有效地贯穿于信息流通与信息活动中的安全管理工作,也是无法真正实现信息安全的。因此,管理是贯穿信息安全整个过程的生命线。
展开