信息安全：IT安全團隊的責任簡析

申請免費試用、咨詢電話：400-8352-114

伊索的《The Boy Who Cried Wolf（狼來了）》寓言使我們聯(lián)想到IT部門。即使是入侵、病毒、盜取數(shù)據(jù)、私有信息泄密每周都見于報紙頭條，我們還是傾向于認為自己對IT安全的消息有免疫力；尤其是在我們的安全團隊成功地阻止了這些明確的入侵之后。其實這并不意味著威脅有絲毫的減少。事實上，安全團隊的成功對我們來說通常是不幸的，因為它會讓我們放松警惕，因此可能引起組織的災難性損失。

在多數(shù)組織內部，IT安全負責保護我們的信息資產(chǎn)不在未許可的情況下被訪問或被不適當?shù)脑L問。這個任務通常包含信息安全系統(tǒng)、災難恢復、訪問監(jiān)控和其它積極的措施來保護企業(yè)資產(chǎn)。要做到這些，IT安全要創(chuàng)建策略、評估系統(tǒng)和基礎設施弱點、計劃措施來降低潛在的攻擊或信息泄露。

IT安全還在應用程序開發(fā)項目中占據(jù)很重要的角色。今天，在新系統(tǒng)開發(fā)過程中應用開發(fā)經(jīng)理將IT安全看作一個主要的風險承擔者。IT安全的角色可能有多種形式。對于有些組織，IT安全將扮演一個項目顧問，在解決所有安全相關的問題上有專門的資源配合項目經(jīng)理。

在一些組織中，IT安全團隊的責任范圍并不能清楚地定義。相反的，高層管理人員會提出一個一般性的要求，要求在所有領域都要符合他們的政策方針。在這個不幸的位子上，應用開發(fā)經(jīng)理通常即面臨靈活的商業(yè)需要，又面臨鎖定系統(tǒng)的驗證和訪問拓撲。這些相對的目標通常會導致項目風險承擔者之間的沖突，他們要求項目出資方參與解決這個情況。

在IT安全團隊任務比較廣泛的組織內，安全通常扮演項目開發(fā)上的商業(yè)所有者，提供商業(yè)需求并獲取應用程序的操作所有權。在支持IT安全任務的應用程序中，這種情況很常見。這樣的應用程序的例子包括單一簽名應用程序，電子郵件內容過濾，Web訪問審計等等。

為了IT安全團隊工作的成功，你應該清楚地確定組（group）的角色和在每個項目上的責任。這是項目范圍開發(fā)階段的一個標準步驟——沒有這個步驟你就不應該開始項目。

來源：Builder.com.cn