信息安全：IT安全團(tuán)隊的責(zé)任簡析

申請免費試用、咨詢電話：400-8352-114

伊索的《The Boy Who Cried Wolf（狼來了）》寓言使我們聯(lián)想到IT部門。即使是入侵、病毒、盜取數(shù)據(jù)、私有信息泄密每周都見于報紙頭條，我們還是傾向于認(rèn)為自己對IT安全的消息有免疫力；尤其是在我們的安全團(tuán)隊成功地阻止了這些明確的入侵之后。其實這并不意味著威脅有絲毫的減少。事實上，安全團(tuán)隊的成功對我們來說通常是不幸的，因為它會讓我們放松警惕，因此可能引起組織的災(zāi)難性損失。

在多數(shù)組織內(nèi)部，IT安全負(fù)責(zé)保護(hù)我們的信息資產(chǎn)不在未許可的情況下被訪問或被不適當(dāng)?shù)脑L問。這個任務(wù)通常包含信息安全系統(tǒng)、災(zāi)難恢復(fù)、訪問監(jiān)控和其它積極的措施來保護(hù)企業(yè)資產(chǎn)。要做到這些，IT安全要創(chuàng)建策略、評估系統(tǒng)和基礎(chǔ)設(shè)施弱點、計劃措施來降低潛在的攻擊或信息泄露。

IT安全還在應(yīng)用程序開發(fā)項目中占據(jù)很重要的角色。今天，在新系統(tǒng)開發(fā)過程中應(yīng)用開發(fā)經(jīng)理將IT安全看作一個主要的風(fēng)險承擔(dān)者。IT安全的角色可能有多種形式。對于有些組織，IT安全將扮演一個項目顧問，在解決所有安全相關(guān)的問題上有專門的資源配合項目經(jīng)理。

在一些組織中，IT安全團(tuán)隊的責(zé)任范圍并不能清楚地定義。相反的，高層管理人員會提出一個一般性的要求，要求在所有領(lǐng)域都要符合他們的政策方針。在這個不幸的位子上，應(yīng)用開發(fā)經(jīng)理通常即面臨靈活的商業(yè)需要，又面臨鎖定系統(tǒng)的驗證和訪問拓?fù)?。這些相對的目標(biāo)通常會導(dǎo)致項目風(fēng)險承擔(dān)者之間的沖突，他們要求項目出資方參與解決這個情況。

在IT安全團(tuán)隊任務(wù)比較廣泛的組織內(nèi)，安全通常扮演項目開發(fā)上的商業(yè)所有者，提供商業(yè)需求并獲取應(yīng)用程序的操作所有權(quán)。在支持IT安全任務(wù)的應(yīng)用程序中，這種情況很常見。這樣的應(yīng)用程序的例子包括單一簽名應(yīng)用程序，電子郵件內(nèi)容過濾，Web訪問審計等等。

為了IT安全團(tuán)隊工作的成功，你應(yīng)該清楚地確定組（group）的角色和在每個項目上的責(zé)任。這是項目范圍開發(fā)階段的一個標(biāo)準(zhǔn)步驟——沒有這個步驟你就不應(yīng)該開始項目。

來源：Builder.com.cn