信息安全重中之重 十步驟制定企業(yè)安全計劃

申請免費試用、咨詢電話：400-8352-114

信息安全重中之重 十步驟制定企業(yè)安全計劃1

【計世獨家】網(wǎng)絡(luò)和IT應(yīng)用在企業(yè)內(nèi)不斷得到深化，所帶來的結(jié)果就是，信息安全成為企業(yè)重要的無形資產(chǎn)。如何保護(hù)好信息，不但要在技術(shù)、規(guī)范上，還要在管理流程等多方面加以全面考慮。

不管一個企業(yè)規(guī)模如何、業(yè)務(wù)類型如何，很難說沒有發(fā)生過信息安全事件。在一些疏于防范的企業(yè)，計算機(jī)病毒爆發(fā)、利用系統(tǒng)漏洞非法入侵等信息安全事件更是時有發(fā)生。

究其原因，要歸咎于現(xiàn)在的技術(shù)、法規(guī)、業(yè)務(wù)流程、安全威脅及其他眾多因素相比于過去，復(fù)雜性大大增加，并且相互交織在一起，這大大增加了各類企業(yè)在信息安全方面所面臨的風(fēng)險。

而企業(yè)內(nèi)部信息存在于這樣一個復(fù)雜的生態(tài)系統(tǒng)中，還要滿足信息安全方面的三個原則: 可用性、完整性和機(jī)密性，其自身所面臨的壓力自然也就不言而喻?？捎眯砸馕吨枰畔⒌娜四軌蚣皶r獲取信息; 完整性意味著信息完整，沒有遭到破壞; 機(jī)密性意味著信息得到了保護(hù)，未授權(quán)者無法訪問。

本文根據(jù)上述的三個原則，提供了制定企業(yè)安全計劃（ESP）的一些方法和指導(dǎo)原則。

第一步:

管理學(xué)專家吉姆·柯林斯（Jim Collins）在《從優(yōu)秀到卓越》（Good to Great）一書中，明確表明，在啟動任何公司項目之前就應(yīng)該讓相應(yīng)人員參與進(jìn)來，企業(yè)安全計劃項目也不例外。

在企業(yè)內(nèi)部要成立兩支團(tuán)隊，即經(jīng)理人團(tuán)隊和跨職能部門的信息安全團(tuán)隊。經(jīng)理人團(tuán)隊負(fù)責(zé)確定企業(yè)安全計劃的使命、宏觀目標(biāo)和具體目標(biāo)，這個團(tuán)隊的成員應(yīng)該包括企業(yè)的高層主管。此外，這支團(tuán)隊還應(yīng)該負(fù)責(zé)制定重要的安全政策、設(shè)定組織風(fēng)險閾值、獲得企業(yè)安全計劃所需的資金，并且成立跨職能部門的安全團(tuán)隊。

跨職能部門的安全團(tuán)隊則最好由更小的團(tuán)隊組成，負(fù)責(zé)日常的IT安全工作，包括管理IT資產(chǎn)、評估威脅與漏洞、管理風(fēng)險、制定策略、制定規(guī)程和控制手段、進(jìn)行內(nèi)部審計以及提供培訓(xùn)服務(wù)。

第二步:

理清信息資產(chǎn)。

管理信息資產(chǎn)首先要從清點資產(chǎn)開始入手，這個步驟應(yīng)當(dāng)記下硬件、應(yīng)用程序（包括內(nèi)部和第三方組織的應(yīng)用程序）、數(shù)據(jù)庫及其他信息資產(chǎn)（如網(wǎng)絡(luò)共享文件夾和FTP網(wǎng)站等）。一旦完成了清點資產(chǎn)的工作，再為每項資產(chǎn)明確一個所有人及監(jiān)護(hù)人。所有人的職責(zé)是充當(dāng)被分配資產(chǎn)的聯(lián)系人，而監(jiān)護(hù)人要負(fù)責(zé)保護(hù)已存儲的信息。

然后，根據(jù)信息資產(chǎn)里面所含信息對公司具有的價值、以及一旦該資產(chǎn)受到危及，公司可能遭受的成本損失進(jìn)行分析，根據(jù)結(jié)果把這些信息資產(chǎn)劃分成不同的重要等級。