3.1 信息安全管理标准BS 7799实施中的问题

3.1.1 企业信息安全管理的现状

目前企业信息安全管理存在着以下问题。

1.重视信息技术，轻视信息管理

企业信息化建设初期，基本上没有考虑安全问题，只是由于病毒和黑客的入侵，才采取安装防火墙、防病毒软件等技术措施，保障信息和网络安全。这些技术措施虽能起到一定的安全作用，但关键的因素仍然是人，企业暴露出的信息安全问题70%来源于企业内部，很多都是管理不善造成的。信息安全问题不单纯是技术问题，它涉及历史、文化、道德、法律、管理、技术等一个综合性问题，单纯从技术角度考虑是不可能得到很好解决的。由于企业对信息安全管理缺乏系统性的了解，重视度不高，造成信息安全管理的诸多漏洞。

2.企业对信息的认识过于片面

在IT行业，如果把信息看成是存储在计算机里的数据也不能说错，但是在信息安全领域，这样的认识就不够全面。在BS 7799标准里，信息被定义为资产，是具有价值的。信息的表现形式也多种多样：打印或写在纸上的信息；电子形式存储的信息；通过邮件或电子手段传输的信息；显示在胶片上、计算机屏幕上或表达在会话中的信息；员工头脑里的信息等。可以看出，这里信息的定义是广义的，也就是说只要对企业有价值的东西就是信息。在信息及其处理设备高度发达的今天，所有的组织，无论其性质、大小、国营或私营，都依赖于信息而存在。无论信息的表现形式如何，以什么方式共享或存储，都必须得到企业妥善地保护。

3.行业规范问题

行业规范里，内容更多的是安全生产方面，涉及信息安全管理的很少。由于自动化控制领域信息安全的重要性，根据信息安全方面的管理和技术标准，结合行业特点，制定或修订行业安全法规就显得尤其重要。

4.企业标准、管理制度问题

由于管理的复杂性与多样性，即便是熟知信息技术的人制定标准或制度，也是仁者见仁，智者见智，很难系统、全面地概括信息安全管理的全貌。所以信息安全管理标准的指导作用就显得很重要，参照国际通用的信息安全标准，制定或修改企业的相关标准或制度是明智的。

3.1.2 信息安全管理标准实施的误区

实施信息安全管理是企业高层管理者的战略举措，一般采取从上开始推行、广泛发动群众，自上向下的方法。但是许多企业在执行信息安全管理标准后，往往形成贯彻标准和实际工作的两张皮，企业花了钱，却没有达到预期的效果或效果不明显。企业将贯彻标准工作实用化，应从以下方面考虑。

1.结合管理层次实施

企业的管理层次成金字塔形，从上到下为决策层、管理层和业务层。而我们贯彻标准的误区就在于没有针对这样的管理层次，进行有效的宣传和操作。贯彻标准是一个战略决策，不可能要求基础员工都有这样高的认识，这既不经济也不现实。培训是信息安全管理工作的一项重要内容，制订培训计划应针对不同的管理层次，根据岗位和职责进行不同的培训。培训的结果应让所有的员工清楚，通过信息安全的贯彻标准，他们的日常工作有了哪些变化。

2.贯彻标准机构的组成人员要有广泛性

信息安全贯彻标准应成立相应的管理机构。在机构的组成上，依赖信息技术人员，尽可能包括所有业务部门，在贯彻标准的准备阶段，需要大家共同参与。人员组成的广泛性是贯彻标准工作能否成功的基本因素。

3.前期准备工作要细致

贯彻标准前期准备和调研工作非常重要。应对组织的业务系统、企业文化、人员状况、安全意识等进行系统、翔实地了解和掌握，只有这样，才能发现企业面临的风险，明确企业的安全需求，为企业制定合理的安全策略，为下一步的资产评估和风险管理打下坚实基础。

4.最后要落实到制度上

信息安全管理的目标是提高企业的信息安全管理水平，将贯彻标准的工作融入到日常实际工作中，对照BS 7799标准，找出实际工作中的不足和差距，对现有制度进行修改和完善。

3.1.3 灵活使用BS 7799

任何标准都是由人来制定的，对标准进行全面的了解之后，就要活学活用，BS 7799标准也是一样。要抱着这样一个信念，只要有关信息安全的问题，都可以参考这套标准，大到一个企业，小到一个应用系统或一台设备。对照BS 7799标准，检查其安全管理状况，可能会发现很多平时忽视的安全问题，则采取相应的控制措施，把问题消灭在萌芽状态，将其制度化，并保持持续改进。任何一个企业通过实施一套标准就想达到零风险，也是不现实的。谁也不敢说能一劳永逸地解决安全问题。但是可以降低风险，即使发生风险，也能保持企业的可持续发展，这就是研究BS 7799标准的目的之所在。