关键词：信息化；信息安全；安全管理

　　1、企业信息安全现状

　　近几年，随着行业信息化建设逐步深入，伴随着OA办公自动化、ERP、卷烟生产经营决策管理和MES生产制造执行等系统相继投入使用，与生产经营息息相关的关键业务对信息系统的依赖程度越来越高，企业也逐步认识到信息安全的重要性，企业员工的安全意识也都得到逐步提高。行业也相继出台了烟草行业信息安全保障体系建设指南和各类信息安全制度，并通过这几年信息安全检查工作，促进企业的信息安全水平得到了进一步提高。由于企业信息安全意识不断提高，企业不断加大信息安全方面的投入，如建立标准化的机房、购买与部署各类信息安全软件和设备等。但是木马、病毒、垃圾邮件、间谍软件、恶意软件、僵尸网络等也随着计算机技术的发展不断更新，攻击手段也越发隐蔽和多样化。企业不仅要应对外部的攻击，也要应对来自于企业内部的信息安全威胁，安全形势不容乐观。企业的信息安全已不仅仅是技术问题，还需要借助管理手段来保障。企业如果不能正确树立信息风险导向意识，一味注重“技术”的作用，忽略“管理”的重要性，就很难发挥信息安全技术的作用，无法把企业的各项信息安全措施落到实处，企业的信息安全也就无从谈起。只有切实发挥管理作用，企业的信息安全才能得到有效保障。

　　2、企业信息安全体系架构

　　在谈到信息安全时，大多数刚接触的人都比较疑惑，都说保障信息安全十分重要，那到底什么是信息安全呢？下面就简单介绍一下信息安全的概念以及企业的信息安全体系架构。2.1信息。对企业来说，信息是一种无形资产，具有一定商业价值，以电子、影像、话语等多种形式存在，必须进行保护。2.2信息安全。主要是指防止信息泄露、被篡改、被损坏或被非法辨识与控制，避免造成不良影响或者资产损失。2.3企业信息安全体系架构。在保障企业信息安全过程中，信息安全技术是保障信息安全的重要手段。通过上文对企业信息安全现状的分析，不难看出企业信息安全体系主要分为技术、管理两个重要体系，进一步细分则涉及安全运维方面。2.3.1信息安全技术体系作用。主要是指通过部署信息安全产品，合理制定安全策略，实现防止信息泄露、被篡改、被损坏等安全目标。信息安全产品主要是指实现信息安全的工具平台，如防火墙类产品、防攻击类产品、杀毒软件类产品和密码类产品等，而信息安全技术则是指实现信息安全产品的技术基础。2.3.2信息安全管理体系作用。完善信息安全组织机构、制度，细化职责分工，制定执行标准，确保日常管理、检查等制度有效执行，最大程度发挥信息安全技术体系作用，确保信息安全相关保护措施有效执行。通过上文简单介绍，对信息安全以及信息安全系统有了大概了解。可以看出单纯借助技术或管理无法保障企业信息安全，因此，建立企业信息安全管理体系的重要性也就不言而喻。

　　3、信息安全管理体系概念

　　3.1信息安全管理。运用技术、管理手段，做好信息安全工作整体规划、组织、协调与控制，确保实现信息安全目标。

　　3.2管理体系。体系是指相互关联和相互作用的一组要素，而管理体系则是建立方针和目标并实现这些目标的体系。

　　3.3信息安全管理体系（ISMS）。在一定组织范围内建立、完成信息安全方针和目标，采取或运用方法的体系。作为管理活动最终结果，包含方针、原则、目标、方法、过程、核查表等众多要素。

　　3.4建立信息安全管理体系的目的。作为企业总管理体系的一个子体系，目的是建立、实施、运行、监视、评审、保持和改进信息安全。

　　3.5信息安全管理体系涉及的要素。

　　3.5.1信息安全组织机构。明确职责分工，确保信息安全工作组织与落实。

　　3.5.2信息安全管理体系文件。编制信息安全管理体系的方针、过程、程序和其他必需的文件等。

　　3.5.3资源。提供体系运转所需的资金、设备与人员等。

　　4、信息安全管理体系机构设置以及作用