信息是一种资产,一旦损毁、丢失、或被不适当地曝光,会给组织带来一系列的损失,如“冰山原理”所描述,我们能直接感知到的数据的丢失,只是整体损失的冰山一角,潜藏在水面下的部分,可能会是直接损失的6~53倍,这包括:损失了时间,替代的成本,可能的法律风险,声誉受损,丢失潜在的业务,竞争力和生产力受损等等。这些损失是我们不愿意面对的,因此信息安全越来越成为我们关注的热点问题。
信息安全的问题倍受关注,是信息技术发展到一定水平,信息化深入到一定程度之后的一个必然趋势和结果。信息对于业务的重要性,或者讲业务对于信息的依赖性,使得信息安全问题尤为突出,另外一个方面,信息媒介的多样性,信息传播的广泛性等因素也造就了保护信息安全的复杂度。因此如何来保护信息安全,怎么样才能保护信息安全,成为技术厂商、管理专家经常探讨和论述的话题。
我们知道保障信息安全有三个支柱,一个是技术、一个是管理、一个是法律法规。而我们日常提及信息安全时,多是在技术相关的领域,例如IDS入侵检测技术、Firewall防火墙技术、Anti-Virus防病毒技术、加密技术、CA认证技术等等。这是因为信息安全技术和产品的采纳,能够快速见到直接效益,同时,技术和产品的发展水平也相对较高,此外,技术厂商对市场的培育,不断提升着人们对信息安全技术和产品的认知度。虽然大家在面对信息安全事件时总是在叹息:“道高一尺、魔高一丈”,在反思自身技术的不足,实质上人们此时忽视的是另外两个层面的保障。
国家的法律法规方面,有专门的部门在研究和制定和推广,不是本文探讨的主题,我们要讨论的是,谁来关注管理对信息安全的保障呢?这要靠组织自己通过意识提高,管理水平的提升来逐步改善。
正如“木桶原理”所示,你的能力是由你最弱的那个环节决定的,我们发展信息安全事业,保护信息安全,也应该从上述三个方面全面考量,而不能只偏重其中的某一个部分。
