信息安全不容忽视

　　国家信息化专家咨询委员会委员、著名信息安全专家曲成义教授以一个发人深省的小故事开始了他的演讲。在此前的一次会议中，曲教授曾向在

　　座的IT人员发问：五年之后，如果你们的信息系统瘫痪，你们还能恢复到手工吗？他们说，用不着五年，现在就已经无法恢复了。这样的回答令人无法乐观。信息化正在深入渗透融合到企业的每一个环节，而融合的效果越好，信息安全就越应该提上日程，如果因为受到攻击，或仅是一个小小的误操作而面临系统瘫痪，对企业来讲不可想象。

　　美国的9·11事件可以说给全世界企业的信息安全都敲响了警钟。9·11之后，世贸大楼上的1200多家公司中，有800多家没有应急预案的公司悉数破产。所以，从对安全事件的监控、预警、通报机制，到启动应急预案、快速恢复、事后评估，以及BCM（业务持续管理）的最后一道防线—灾难恢复，无一不是关键点。

　　曲教授说，我国的国标《信息系统灾难恢复规范》（GB/T20988-2007）已经出台，灾难恢复等级分为6级，不同级别的投入也就不同，应该科学合理选择灾备系统，把有限的钱花在刀刃上。

　　2006年，国务院信息化办公室曾花6个月时间在国内5省的6大行业中选择了7个点进行ISMS（信息安全管理体系建设）试点，发现做过试点的大不一样，消除了很多因管理造成的隐患和漏洞。ISMS在国内是个新生事物，目前有很多企业都开始或打算做，而进行评估的认证机构也随之兴起。