一、概念討論

信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務不中斷。信息安全主要包括以下五方面的內容，即保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。綜合學界對信息安全管理的各種觀點，本文將信息安全管理界定為：國家、組織或個體為了實現信息安全目標，運用一定的手段或技術體系，對涉及信息安全的非技術因素進行系統管理的活動。可以看出，信息安全技術或信息安全管理單一作用，都不能等同于信息安全。信息安全管理只是信息安全的一個方面，是實現與保證信息安全的關鍵活動。信息安全技術也是信息安全的一個方面，是實現與保證信息安全的技術支撐。因此保障信息安全是由信息安全技術與信息安全管理兩者共同作用來實現的。廣義的講，信息安全技術也是信息安全管理的組成部分，但本文僅討論非技術因素的信息安全管理，而非技術因素主要是人的因素引發的信息安全問題。

二、信息安全管理現狀

當前在信息安全領域，許多觀點將信息安全等同于信息安全技術，而信息安全管理則被隱藏了。事實上，信息安全管理與信息安全技術都是信息安全的組成部分，是實現與保障信息安全的關鍵活動和技術支撐。因此，保障信息安全，不能僅依靠信息安全技術一條腿走路，而要信息安全管理與信息安全技術共同發展，并由信息安全管理起引領規劃作用。目前信息安全方面的主要問題是——

一是過于偏重外部。長期以來人們對信息安全不論從認識還是在執行上都偏重于外部攻擊防范，從早期的國際信息安全年會到中國信息安全技術大會的各類介紹，再到媒體渲染以及廣告效應，由于理論與認識的原因，由于市場賣點與企業自身經濟利益等原因，都將眼球和注意力吸引到了信息安全技術攻防戰上，對外來威脅進行了夸大，從而使信息用戶對信息安全的焦點集聚在外來威脅的防護上。縱觀信息發展歷程，在信息應用的實際操作上，早期建設的重點也放在了信息加密、數據備份、病毒防護方面，發展到近期網絡環境下的防火墻、入侵檢測和身份認證等。但事實上不論早期的“力拓間諜案”、“某保險公司80萬客戶信息泄露案，”還是近期的“棱鏡門”、今年年初的“希拉里郵件門”等一系列信息安全事件的出現，使人們再次認識到人的因素與人防、物防、技防、制防的安全管理策略是不可分割的。

　　二是單純重視技術。由于信息系統的工作是在人的操控下進行的，故單獨的依靠信息安全技術去解決信息安全問題是不全面的。但是現在更多的信息安全產品研發公司基于市場等原因不斷地推出新的信息安全技術產品，但是對最終解決人機連接不斷裂問題上卻少有建樹。而作為非專業信息安全技術開發企業來說，信