信息安全思想篇之信息安全之保障 安全规划不可少

前一篇文章中（http://www.2cto.com/Article/201307/224101.html），我们明确了信息安全建设的目标，本文讲述信息安全建设规划的必要性，以下是山东省软件评测中心多年经验总结，如有问题，欢迎拍砖。
一、概念
根据用户需求，按照用户网络安全现状进行规划与可行性分析、产品选型、投资预算等信息安全建设的方案设计。
二、信息安全规划的意义
信息安全规划是一个涉及管理、法规和技术等多方面的综合工程。信息安全的总体目标是物理安全、网络安全、主机安全、应用安全、数据安全与安全管理的总和。信息安全的最终目的是确保组织信息的机密性、完整性和可用性，以及组织对于信息资源的控制。
信息安全规划是以组织信息化战略规划为指导，以组织的信息资源规划为基础，全面完整地规划信息系统应用和相关信息架构，确定信息系统的安全框架、管理模式与建设步骤。企业在信息安全规划的指导下建设的网络与信息环境，才可以在安全机制的控制与制约下，让各种业务解决方案、应用系统和数据都避免遭受负面因素带来的威胁。信息安全规划不应只是规划未来几个月，而是规划未来几年内如何达到组织信息化远景规划指导下的安全建设目标的一个过程。信息安全规划比单独购买信息安全产品更重要，只有信息安全的整体部署有计划、有方向、有目的、有配合，才能构成真正意义上的信息安全。
三、 信息安全规划的范围
信息安全规划是在建和已建的信息系统中必须要考虑的重要内容。信息安全规划主要是根据风险评估的结果和提取的安全需求描述实施相应的安全保障的目标、措施和步骤。按照“全网安全”的思想，信息安全规划需要从管理、组织和技术等多方面进行综合考虑，所涉及到的应该是综合管理、技术规范、运行维护等多个层面的控制措施。
信息系统安全是一个动态发展的过程，过去依靠技术就可以解决大部分安全问题，但是现在仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。信息安全建设是一项复杂的系统工程，要从观念上进行转变，要在安全产品的支持下建设全方位的安全策略，使之成为一个可持续的动态发展的有安全保障的渐进过程。因此，目前在安全设备有一定规模的情况下，规范管理就成为了信息安全规划需要关注的核心内容，在信息安全规划中一定要将规范管理的规划放在首位。规范管理包括风险管理、安全策略、规章制度和安全教育，这几个组件是信息安全规划的重要内容。信息安全规划需要有规划的依据，这个依据就是组织的信息化战略规划，同时更需要有组织与人员结构的合理布局来保证，没有合适的人员配合工作任何事情都是不可能完成的，因此在安全规划中必须重视对组织结构建立和进行人员合理调配这个关键环节