信息安全：IT安全團(tuán)隊(duì)的責(zé)任簡析

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

伊索的《The Boy Who Cried Wolf（狼來了）》寓言使我們聯(lián)想到IT部門。即使是入侵、病毒、盜取數(shù)據(jù)、私有信息泄密每周都見于報(bào)紙頭條，我們還是傾向于認(rèn)為自己對(duì)IT安全的消息有免疫力；尤其是在我們的安全團(tuán)隊(duì)成功地阻止了這些明確的入侵之后。其實(shí)這并不意味著威脅有絲毫的減少。事實(shí)上，安全團(tuán)隊(duì)的成功對(duì)我們來說通常是不幸的，因?yàn)樗鼤?huì)讓我們放松警惕，因此可能引起組織的災(zāi)難性損失。

在多數(shù)組織內(nèi)部，IT安全負(fù)責(zé)保護(hù)我們的信息資產(chǎn)不在未許可的情況下被訪問或被不適當(dāng)?shù)脑L問。這個(gè)任務(wù)通常包含信息安全系統(tǒng)、災(zāi)難恢復(fù)、訪問監(jiān)控和其它積極的措施來保護(hù)企業(yè)資產(chǎn)。要做到這些，IT安全要?jiǎng)?chuàng)建策略、評(píng)估系統(tǒng)和基礎(chǔ)設(shè)施弱點(diǎn)、計(jì)劃措施來降低潛在的攻擊或信息泄露。

IT安全還在應(yīng)用程序開發(fā)項(xiàng)目中占據(jù)很重要的角色。今天，在新系統(tǒng)開發(fā)過程中應(yīng)用開發(fā)經(jīng)理將IT安全看作一個(gè)主要的風(fēng)險(xiǎn)承擔(dān)者。IT安全的角色可能有多種形式。對(duì)于有些組織，IT安全將扮演一個(gè)項(xiàng)目顧問，在解決所有安全相關(guān)的問題上有專門的資源配合項(xiàng)目經(jīng)理。

在一些組織中，IT安全團(tuán)隊(duì)的責(zé)任范圍并不能清楚地定義。相反的，高層管理人員會(huì)提出一個(gè)一般性的要求，要求在所有領(lǐng)域都要符合他們的政策方針。在這個(gè)不幸的位子上，應(yīng)用開發(fā)經(jīng)理通常即面臨靈活的商業(yè)需要，又面臨鎖定系統(tǒng)的驗(yàn)證和訪問拓?fù)?。這些相對(duì)的目標(biāo)通常會(huì)導(dǎo)致項(xiàng)目風(fēng)險(xiǎn)承擔(dān)者之間的沖突，他們要求項(xiàng)目出資方參與解決這個(gè)情況。

在IT安全團(tuán)隊(duì)任務(wù)比較廣泛的組織內(nèi)，安全通常扮演項(xiàng)目開發(fā)上的商業(yè)所有者，提供商業(yè)需求并獲取應(yīng)用程序的操作所有權(quán)。在支持IT安全任務(wù)的應(yīng)用程序中，這種情況很常見。這樣的應(yīng)用程序的例子包括單一簽名應(yīng)用程序，電子郵件內(nèi)容過濾，Web訪問審計(jì)等等。

為了IT安全團(tuán)隊(duì)工作的成功，你應(yīng)該清楚地確定組（group）的角色和在每個(gè)項(xiàng)目上的責(zé)任。這是項(xiàng)目范圍開發(fā)階段的一個(gè)標(biāo)準(zhǔn)步驟——沒有這個(gè)步驟你就不應(yīng)該開始項(xiàng)目。

來源：Builder.com.cn