11.1.3信息安全管理的重要性

    1.从系统本身存在的问题认识

    任何一个信息系统工程都是一套非常复杂的多环节架构，它的安全措施不完整性隐患或安全漏洞可能渗透到该系统的所有地方，其中的一些隐患可能连系统的设计者、实现者和使用者都不一定非常清楚地知道它的存在。因此，系统的不安全因素总是存在的，所以我们说没有绝对的安全，只有相对的安全。

    既然信息系统的不安全总是存在的，我们所关注的是如何做到防范。针对于此，首先，信息安全不是要做到滴水不漏的完美，而是要根据系统的特性订出系统所需的安全度，如果一味强调安全本身而加上诸多不合现实的限制，只会导致工作人员更多的反感。

其次，针对某一种情况制定真正合适的规范，是必须先评估自己所能承担的风险，将攻击的系统的成本提高到让想破解的人都认为不合乎成本，从而不愿意花功夫去攻击你的系统，俗话说“赔钱的生意没人做”。

    同时，从另外一个层面来说，要加强对信息安全的管理。信息安全管理是一项包含技术层面、管理层面、法律层面的社会系统工程:它不是产品，是一个完整的过程，是由人、技术、流程三个部分组成。这些组成部分匹配得越好，过程进展的就越顺利，对信息系统安全的保障作用的发挥就越重要。

    2.当前政府和企业对信息系统安全的重视

    鉴于信息系统安全在当前信息系统工程的重要性，不论是政府、企业的应用者，还是信息系统安全的承建单位，包括设计单位、实施单位和监理，对信息系统安全重视程度正在日益提高。

    中国工程院院长徐匡迪曾指出:“没有安全的工程就是豆腐渣工程”。这几年来我国接连不断地出现程度不同的信息系统安全事故，这些事故不仅仅是简单的信息系统瘫痪的问题，其直接后果是导致巨大的经济损失，还造成了不良的社会影响。如果说经济损失还能弥补，那么由于信息网络系统在安全防范和管理方面体现出的脆弱性而引起的公众对信息系统工程的诚信危机则不是短时期内可以恢复的。

    业界普遍认为，信息安全是政府和企业必须携手面对的问题。政府和企业管理执行层(董事会)有责任确保为所有使用者提供一个安全的信息系统环境。

    我国政府主管部门以及各行各业已经认识到了信息安全的重要性。政府部门开始出台一系列相关策略，直接牵引、推进信息安全的应用和发展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业，也开始出台对信息安全技术产品的应用标准和规范。国务院信息化领导小组颁布的《关于我国电子政务建指导意见》强调指出了电子政务建设中信息系统安全的重要性;中国人民银行在加紧制定网上银行系统安全性评估指引，并明确提出对信息安全的投资要达到总投资的10%以上，而在其他一些关键行业，信息安全的投资甚至已经超过了总预算的30%－50%。

      目前，政府和各行各业对信息安全的重要性有了认识，相关的规定标准在形成，投资力度在加大，安全技术、产品、市场在发展，多数企业机构正在制定符合不同业务信息系统和网络安全等级需要的综合性安全策略和计划。那么，到底需要什么样的方法或机制来管理或治理信息安全呢?从长远的角度看，关键是要建立一套能够涵盖组织信息安全的制度，包括管理措施和制度，即如何能将信息系统安全从机制和结构上提升到一个新的层面;如何通过建立和维护一个和相关法律和规范一致的框架来保证信息安全战略和组织的业务目标。