内容简介

传统的信息安全研究，关注的焦点主要停留在技术层面上。国内外的不少机构和学者从技术层面对信息安全的基本概念、基本技术、体系结构以及发展战略等方面也进行了较为深入的研究，为信息安全工作奠定了很好的基础。但是，现实世界的任何系统都是由复杂的要素构成的，信息安全问题单纯依靠技术手段是解决不了的。信息安全建设应是一个系统工程，其主体应该是人（包括用户、团体、社会和国家），把信息安全管理与信息安全技术手段结合起来，对系统中的各个环节进行统一的规划和综合考虑，并要兼顾环境和系统内部不断发生的变化，建立系统化的管理体系。信息安全建设不仅是一个技术问题，更是一个管理问题。据有关机构统计表明：网络与信息安全事件大约有70％以上的问题是由管理因素造成的，诸如政策法规的不完善、管理制度的不健全、安全意识的淡薄和操作过程的失误等，这正应了十几年前国家863 CIMS专家组“三分技术，七分管理”的箴言。即便有好的安全设备、系统和技术，若没有有效地贯穿于信息流通与信息活动中的安全管理工作，也是无法真正实现信息安全的。因此，管理是贯穿信息安全整个过程的生命线。