HIT专家网
信息安全重在管理
长期以来,在信息安全建设方面,存在着重技术轻管理、重产品功能轻人为因素、缺乏整体性信息安全体系考虑等各方面的问题。技术也许可以解决一部分问题,但却解决不了根本。信息安全技术和产品同其他信息技术产品一样,多源于西方国家。在遇到信息安全问题时,往往寄希望于这些产品和技术。
虽然这些技术和产品的应用,一定程度上解决了部分信息安全问题,但是仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,仍然无法避免一些信息安全事件的发生,比较常见的一些例子是已经部署了防病毒系统和防火墙系统,但依然会发生病毒事件,导致网速缓慢,甚至网络瘫痪。
信息安全对人和其行为的管理才是最重要的。如果没有正确的安全操作管理规范,就算是有再好的安全产品,也可能会发生安全问题,大规模的DoS侵入、黑客攻击、蠕虫病毒、垃圾邮件等的大量泛滥,加之火灾等自然灾害引起的灾难增多,这些安全技术手段逐渐暴露出某些“先天不足”的问题,导致卫生行业的安全事件逐渐增多,有可能造成重要数据的丢失、破坏,将会形成难以弥补的损失,这样不仅严重影响到卫生业务系统的正常运行,还直接威胁到患者的隐私,甚至是生命安全。
如果安全管理有漏洞,其他安全措施即使投入再大也无济于事。应加强对信息安全从业人员的培训和管理工作。网络安全归根结底是人与人的角力对抗,加强人才队伍建设是提升网络工作水平的重中之重,我们要树立“以人为本”的理念,开展信息安全从业人员培训,强化信息安全人员管理。
国际标准《信息安全管理实用规则 ISO/IEC 27002:2005》中强调,信息安全是一个管理过程,而不是一个技术过程。技术和产品要通过管理的组织职能才能发挥最好的作用,技术不高但管理良好的系统,远比技术高但管理混乱的系统安全。因此技术和产品是基础,管理是关键。建立一个管理框架,让好的安全策略在这个框架内可重复实施,并不断得到修正,就会实现持续安全。
归根到底,技术和管理是相辅相成的,信息安全并不是技术过程,而是一个综合防范的过程,信息安全管理是综合防范过程中的一个重要部分,在信息安全保障工作中必须管理与技术并重,进行综合防范,才能有效保障安全,这也是实现信息安全目标的必由之路。
信息系统没有绝对的安全,只有将信息安全的管理体系化,建立统一的信息安全管理体系,落实各项管理制度,制定合理的安全策略,采取有效的防范措施 ,才能切实保障卫生信息系统的安全、稳定、正常地运行,保障各项卫生业务的正常开展,体现信息化给患者就医带来的便捷服务,提高医疗卫生机构的医疗、管理、教学、科研水平,给其带来巨大的综合效益。在此情况下,保障卫生行业信息系统的安全运行,建立完善的信息安全管理体系,成为我国卫生行业信息化发展的重要保障。
内容预告:【HIT180等保专栏(二)】医疗卫生行业信息安全等级保护制度解读
HIT专家网系列丛书的第一部著作、由王晖主编的《医疗卫生行业信息安全等级保护实施指南》(第二版)已于2014年9月正式出版,同时HIT专家网推出【HIT180等保专栏】,摘编书中精彩内容以及业界投稿内容与读者分享,欢迎大家订阅!
书号:ISBN 978-7-5545-1352-1
版次:2014年9月第1版
印次:2014年9月第1次印刷
开本:889mm * 1194mm
印张:21
原价:48.00元 现在网上微店直接下单即可享受大幅折扣优惠。
咨询热线:010-82373062
评论前必须登录!
注册