如何實現(xiàn)信息安全對工業(yè)化的保障

趙首花+閆育蕓+楊向東

建設信息化，用信息化帶動工業(yè)化，以工業(yè)化促進信息化，是我們的戰(zhàn)略方針。重視信息系統(tǒng)的安全問題與發(fā)展信息化同等重要。如果對信息安全問題熟視無睹，信息安全得不到保障，那么，信息化對工業(yè)化的推動作用將很難得到有效發(fā)揮。因此，信息安全是兩化融合發(fā)展的前提和保障，要想兩化融合能夠較好較快地穩(wěn)定發(fā)展，必須注重信息安全的建設。

建立完善管控體系

隨著信息化的發(fā)展，管理者的職能也在不斷變化。對于如何加快信息化的進程來說，傳統(tǒng)工業(yè)時代下的管理控制模式已經(jīng)不能適應發(fā)展的需求，因此，需要建立更加有效的信息化管理體制，確保信息化建設有序推進，最終實現(xiàn)組織信息化發(fā)展的戰(zhàn)略目標。

在信息化時代下，完善的體制架構被劃分為機構協(xié)調、職能分工和運作規(guī)則等幾個部分。就機構協(xié)調而言，不再是傳統(tǒng)的金字塔模式，即信息自下而上層層傳遞，決策由上而下層層布置；而是采用更加扁平的組織流模式，管理趨向于文化，而不在是制度，組織的信息化水平越高，即信息傳遞速度越快，內(nèi)容描述得越精準，管理就變得越簡單，國家或企業(yè)的安全就更加可控。

實施科學風險評估

風險評估作為保障信息安全的重要措施之一，其在信息化發(fā)展方面起著至關重要的作用。隨著信息化的不斷發(fā)展，各種社會組織都越來越多地依賴于信息技術和信息系統(tǒng)來處理其信息和管理業(yè)務，從而提高自身競爭力，風險管理也隨之在信息化的推進和管理中扮演越來越重要的角色。信息化作為兩化融合的重要組成部分，所涉及的眾多信息都具有保密性，即使安全功能再強大的網(wǎng)絡系統(tǒng)，也有被非法攻擊的可能性，因此，對基于兩化融合思路的信息安全風險評估服務也顯得更為重要。尋求完善有效的基于兩化融合思路信息安全風險評估模式，是保障信息安全的有效措施，也已成為世界各國兩化融合工作的新方向。

信息安全風險管理是一個包括識別風險、評估風險以及采取措施降低風險至可以接受的程度在內(nèi)的全過程，其目標是要保護重要的信息系統(tǒng)和信息安全，幫助管理層更好地做出與管理風險相關的各種決策，幫助管理層更好地審批和建設信息系統(tǒng)，掌握其可能面臨的風險。它從風險管理角度，運用科學的方法和手段，系統(tǒng)分析網(wǎng)絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施，為防范和化解信息安全風險，將風險控制在可接受的水平。這樣綜合評估的結果可以幫助風險管理進行決策，即需要采取什么樣的風險管理措施，優(yōu)先次序是什么，以及如何落實這些風險控制措施。

進行整體安全防范

對信息網(wǎng)絡的整體安全防范應該在風險評估的基礎上進行相應的信息安全等級保護和重要信息安全保護。信息安全等級保護是指國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術標準，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，對等級保護工作的實施進行監(jiān)督、管理。信息安全等級保護制度是國家在國民經(jīng)濟和社會信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設健康發(fā)展的一項基本制度。實行信息安全等級保護制度，能夠充分調動國家、法人和其他組織及公民的積極性，發(fā)揮各方面的作用，達到有效保護的目的，增強安全保護的整體性、針對性和實效性，使信息系統(tǒng)安全建設更加突出重點、統(tǒng)一規(guī)范、科學合理，對促進我國信息安全的發(fā)展將起到重要推動作用，進而保障兩化融合的順利實施。

分析關鍵管理過程

每一項業(yè)務過程都可分解為幾個關鍵的管理過程，企業(yè)內(nèi)部相應的管理和控制部門，都具有履行并完成業(yè)務相關行為的職責。在信息化推進工業(yè)化過程中，為了確保信息化更好地為工業(yè)化服務，我們需要分析系統(tǒng)過程中的關鍵管理活動，明確每項關鍵管理過程的業(yè)務流程、所有涉及部門、相應業(yè)務負責人，以及每項關鍵管理活動審批流程和管理過程的記錄。根據(jù)對組織關鍵管理過程的分析，完善關鍵管理活動所需的所有資源，從而確保組織業(yè)務正常運行，達到對兩化融合的促進作用。

（作者單位：陜西省網(wǎng)絡與信息安全測評中心）