云飛

信息安全工作開展的時候，如果只是一味地注重技術(shù)的作用，忽略管理的重要性，就很難把項目的信息安全措施落到實處，信息安全技術(shù)很難得到有效發(fā)揮。

信息安全可分為狹義安全與廣義安全兩個層次，狹義的安全是建立在以密碼論為基礎(chǔ)的計算機安全領(lǐng)域，早期的信息安全通常以此為基準(zhǔn)，輔以計算機技術(shù)、通信網(wǎng)絡(luò)技術(shù)與編程等方面的內(nèi)容;廣義的信息安全是從傳統(tǒng)的計算機安全到信息安全，安全不再是單純的技術(shù)問題，而是將管理、技術(shù)、法律等問題相結(jié)合的產(chǎn)物。

從信息安全的實踐中，我們發(fā)現(xiàn)信息安全的體系中包含了兩個重要的部分，一個是信息安全技術(shù)，一個是信息安全管理。

信息安全工作開展的時候，如果只是一味地注重技術(shù)的作用，忽略管理的重要性，就很難把項目的信息安全措施落到實處，信息安全技術(shù)很難得到有效發(fā)揮。完善信息安全組織機構(gòu)、制度，細(xì)化職責(zé)分工，制定執(zhí)行標(biāo)準(zhǔn)，確保日常管理、檢查等制度的有效執(zhí)行，才能確保相關(guān)信息安全保護措施有效執(zhí)行，才能真正發(fā)揮信息安全體系的作用。

需要注意的事，在信息安全體系建立前，必須建立信息安全組織機構(gòu)，這個機構(gòu)的設(shè)置必須強調(diào)三個層級。

一是信息安全決策機構(gòu)。決策機構(gòu)應(yīng)處于安全組織機構(gòu)的第一個層級，是一個項目、一個單位信息安全管理工作的最高機構(gòu)，對信息安全規(guī)劃、策略和建設(shè)方案進行審批，并為信息安全工作提供各類資源。

二是信息安全管理機構(gòu)。管理機構(gòu)處于安全組織機構(gòu)的第二個層級，在決策機構(gòu)的領(lǐng)導(dǎo)下，負(fù)責(zé)信息安全項目的日常管理、監(jiān)督等工作。

三是信息安全執(zhí)行機構(gòu)。在管理機構(gòu)的領(lǐng)導(dǎo)下，負(fù)責(zé)保證信息安全技術(shù)體系的有效運行及日常維護，通過具體技術(shù)手段落實安全策略，消除安全風(fēng)險以及發(fā)生安全事件后的具體響應(yīng)和處理。

信息安全是工業(yè)互聯(lián)網(wǎng)建設(shè)的基礎(chǔ)，更是數(shù)字化轉(zhuǎn)型的第一道“屏障”。在重視信息安全工作的同時，更要注重完整科學(xué)的邏輯體系，建立一套行之有效的建設(shè)方案，確保形成良好有序的發(fā)展生態(tài)。