04：为什么说信息安全是系统工程？

发布时间：2011年06月15日点击数： 作者：孙强、孟秀转 来源：ITGov中国IT治理研究中心

【字体：小 大】 【收藏】 【打印文章】

摘要:
信息安全的建设是一个系统工程，它需求对信息系统的各个环节进行统一的综合考虑、规划和架构，并要时时兼顾组织内外不断发生的环境因素的变化，任何环节上的安全缺陷都会对系统构成威胁。在这里我们可以引用管理学上的“木桶原理”加以说明。

04：为什么说信息安全是系统工程？

信息安全的建设是一个系统工程，它需求对信息系统的各个环节进行统一的综合考虑、规划和架构，并要时时兼顾组织内外不断发生的环境因素的变化，任何环节上的安全缺陷都会对系统构成威胁。在这里我们可以引用管理学上的“木桶原理”加以说明。

“木桶原理”指的是：一个木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么木桶的最大容量不取决于长的木板，而取决于最短的那块木板。这个原理同样适用信息安全。一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。信息从产生到销毁的生命周期过程中包括了产生、收集、加工、交换、存储、检索、存档、销毁等多个环节，表现形式和载体会发生各种变化，这些环节中的任何一个都可能影响整体信息安全水平。要实现信息安全目标，一个组织必须使构成安全防范体系这只“木桶”的所有木板都要达到一定的长度(水平)。

由于信息安全是一个多层面、多因素的、综合的、动态的过程，如果组织凭着一时的需求，想当然地去制定一些控制措施和引入某些技术产品，都难免存在挂一漏万、顾此失彼的问题，使得信息安全这只“木桶”出现若干“短木块”，从而无法提高安全水平。正确的做法是遵循国内外相关信息安全标准与最佳实践过程，考虑到组织对信息安全的各个层面的实际需求，在风险分析的基础上引入恰当控制措施，实现信息安全的有效管理。