从宏观的角度来看,我们认为信息安全可以由HTP模型来描述:人员与管理、技术与产品、流程与体系。
在充分理解组织业务目标、组织文件及信息安全的条件下,通过ISO13335的风险分析的方法,通过建立组织的信息安全基线,可以对组织的安全的现状有一个清晰的了解,并可以为以后进行安全控制绩效分析提供评价基础。
长期以来,由于媒体报道的侧重点以及生产商的广告宣传等多种因素的影响,国内公众对安全的认识被广泛误导。有相当一部分人认为,黑客和病毒就已经涵盖了信息安全的一切威胁,似乎信息安全工作就是完全在与黑客与病毒打交道,全面系统的安全解决方案就是部署反病毒软件、防火墙、入侵检测系统。这种偏面的看法对一个组织实施有效的信息安全保护带来了不良影响。
目前,各厂商、各标准化组织都基于各自的角度提出了各种信息安全管理的体系标准。这些基于产品、技术与管理层面的标准在某些领域得到了很好的应用,但从组织信息安全的各个角度和整个生命周期来考察,现有的信息安全管理体系与标准是不够完备的,特别是忽略了组织中最活跃的因素—人的作用。考察国内外的各种信息安全事件,不难发现,在信息安全事件表象后面,其实都是人的因素在起决定作用。不完备的安全体系是不能保证日趋复杂的组织信息系统安全性的。
因此,组织为达到保护信息资产的目的,应在“以人为本”的基础上,充分利用现有的ISO13335、BS7799、CoBIT、ITIL等信息系统管理服务标准与最佳实践,制定出周密的、系统的、适合组织自身需求的信息安全管理体系。