信息安全管理的是企业安全管理的关键部分
在当今全球一体化的商业环境中,信息的重要性被广泛接受,信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和机会,使得信息安全管理成为企业管理越来越关键的一部分。管理高层需要确保信息技术适应企业战略,企业战略也恰当利用信息技术的优势。
但现实世界的任何系统都是一串复杂的环节,安全措施必须渗透到系统的所有地方,其中一些甚至连系统的设计者、实现者和使用者都不知道。因此,不安全因素总是存在。没有一个系统是完美的,没有一项技术是灵丹妙药。
改善企业信息安全管理计划的重要七步
信息安全计划是企业为了保障信息安全而必须监管的一套控制机制。其内容主要包括企业为保护重要数据资产需要采取的安全策略和过程。信息安全计划应当有一套有效的步骤。本文讨论改善此过程的七个步骤。
制定或获得安全计划
很多中小型企业并没有一套安全计划,即使有,往往也是一纸空文。
制定一套信息安全计划有助于企业将重点放在需要保护的资产和安全风险上,同时也会引导企业采取减轻风险的措施。
其实,通过互联网就可以找到许多通用的信息安全管理计划,以这种信息安全管理计划作为开端还是很不错的。但企业应当使自己的安全计划具有业务针对性,针对特定的需要和操作。
让雇员成为信息安全管理过程的一部分
雇员越多地参与到信息安全的管理过程,企业信息安全管理成功的可能性就越大。让员工成为查找风险和应对措施的一分子,投入到整个过程和计划中。
信息安全管理过程应当教育企业中的每一个人。
要激励员工严格遵循计划,并鼓励他们提出必要的计划修改建议。
进行业务影响评估
企业需要执行业务影响评估,其目的是确认对企业的关键运营生死攸关的应用程序、数据和系统。
制定或改善信息安全管理计划的最佳方法是确保它有所依据。毕竟,设计安全计划的目的是为了保护人员、资产、数据等。
企业还应当确认机密数据及其位置,确认其接收、存储、传输和访问的方式。然后,设法保护机密数据,借助实用、适当的安全方法来满足业务需求。
为灾难做好规划
灾难恢复计划对于企业的功能正如氧气对于人的作用一样。企业需要问一下,如果业务停顿了,是否会丧失收入和客户以及未来的收入,是否会丧失声誉,是否存在需要满足的规范和要求?
如果企业对上述问题的回答是肯定的,它就需要一个灾难恢复计划。那么灾难恢复计划应当包含哪些呢?
简单来说,该计划保护的范围应当包括你的人员、关键信息和系统。业务影响评估有助于企业确认暴露程度并确定目标,有助于确保正确地保护机密数据。
接下来的问题是平衡成本。例如,如果数据泄露的成本是20000元,你不会花600000元来防止其发生,但是如果把这两个数字反过来,这种投资就值得了。
反复培训
企业应当就安全策略、基本信息安全、社交工程攻击的识别和避免等方面对雇员进行培训。培训内容最好结合鲜活的例子,切忌空话连篇。此外,向雇员提供关于互联网、社交媒体、可移动设备的安全使用的相关信息相当重要。
就员工正在使用的技术进行培训,用以支持企业的具体环境,更要培训技术方面的安全措施。人身上不可能存在一个可以防止犯错的防火墙,但能够代替这种防火墙的最佳选择应当是人的知识和信心。
评估和监视
企业应通过评估衡量自己的安全计划。应当在被要求审计之前就自己执行审计,以便于找到已经建立的控制中的漏洞,从而不断地改善自己的计划。
必须监视企业使用的数据及保管此数据的系统,确保其不会受到意外变化的破坏。还要监视用户,确保其遵循企业已经建立的安全规则及认证过程中不存在漏洞。必须监视事件,确保自己可以管理一个高效的事件响应过程。
为未来的变更进行规划
小型企业趋于动态变化,而且将要采用或将要进入安全计划的任何东西也应当是动态的。随着企业需要和过程的变更,也需要对计划进行检查和调整。总体而言,应将安全计划看作是企业成长发展的一种鲜活的不断演变的要素。
还有重要的一点,让每个人都为可授受的使用策略出谋划策,并且每年都要签定安全策略协议。
小结
信息安全已不只是人们传统意义上的安全,即添加防火墙或路由器等简单的设备就可保证安全,而是成为一种系统和全局的观念。信息安全是指使信息避免一系列威胁,保障商务的连续性,最大限度地减少业务的损失,从而最大限度地获取投资和商务的回报。
信息安全已不只是人们传统意义上的安全,即添加防火墙或路由器等简单的设备就可保证安全,而是成为一种系统和全局的观念。信息安全是指使信息避免一系列威胁,保障商务的连续性,最大限度地减少业务的损失,从而最大限度地获取投资和商务的回报。
9/13/2011
|