信息安全思想篇之信息安全之保障 安全規劃不可少

前一篇文章中，我們明確了信息安全建設的目標，本文講述信息安全建設規劃的必要性，以下是山東省軟件評測中心多年經驗總結，如有問題，歡迎拍磚。

一、概念

根據用戶需求，按照用戶網絡安全現狀進行規劃與可行性分析、產品選型、投資預算等信息安全建設的方案設計。

二、信息安全規劃的意義

信息安全規劃是一個涉及管理、法規和技術等多方面的綜合工程。信息安全的總體目標是物理安全、網絡安全、主機安全、應用安全、數據安全與安全管理的總和。信息安全的最終目的是確保組織信息的機密性、完整性和可用性，以及組織對于信息資源的控制。

信息安全規劃是以組織信息化戰略規劃為指導，以組織的信息資源規劃為基礎，全面完整地規劃信息系統應用和相關信息架構，確定信息系統的安全框架、管理模式與建設步驟。企業在信息安全規劃的指導下建設的網絡與信息環境，才可以在安全機制的控制與制約下，讓各種業務解決方案、應用系統和數據都避免遭受負面因素帶來的威脅。信息安全規劃不應只是規劃未來幾個月，而是規劃未來幾年內如何達到組織信息化遠景規劃指導下的安全建設目標的一個過程。信息安全規劃比單獨購買信息安全產品更重要，只有信息安全的整體部署有計劃、有方向、有目的、有配合，才能構成真正意義上的信息安全。

三、 信息安全規劃的范圍

信息安全規劃是在建和已建的信息系統中必須要考慮的重要內容。信息安全規劃主要是根據風險評估的結果和提取的安全需求描述實施相應的安全保障的目標、措施和步驟。按照“全網安全”的思想，信息安全規劃需要從管理、組織和技術等多方面進行綜合考慮，所涉及到的應該是綜合管理、技術規范、運行維護等多個層面的控制措施。

信息系統安全是一個動態發展的過程，過去依靠技術就可以解決大部分安全問題，但是現在僅僅依賴于安全產品的堆積來應對迅速發展變化的各種***手段是不能持續有效的。信息安全建設是一項復雜的系統工程，要從觀念上進行轉變，要在安全產品的支持下建設全方位的安全策略，使之成為一個可持續的動態發展的有安全保障的漸進過程。因此，目前在安全設備有一定規模的情況下，規范管理就成為了信息安全規劃需要關注的核心內容，在信息安全規劃中一定要將規范管理的規劃放在首位。規范管理包括風險管理、安全策略、規章制度和安全教育，這幾個組件是信息安全規劃的重要內容。信息安全規劃需要有規劃的依據，這個依據就是組織的信息化戰略規劃，同時更需要有組織與人員結構的合理布局來保證，沒有合適的人員配合工作任何事情都是不可能完成的，因此在安全規劃中必須重視對組織結構建立和進行人員合理調配這個關鍵環節。