監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購(gòu)買(mǎi)價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

贏得安全投資的技巧

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

來(lái)源:泛普軟件 盡管目前大多數(shù)企業(yè)承認(rèn),要保護(hù)公司的數(shù)據(jù)、遵守新的規(guī)定需要更好的安全性和風(fēng)險(xiǎn)管理,但CSO如何能讓自己的想法被董事會(huì)以及各個(gè)部門(mén)所接受依然面臨著挑戰(zhàn)。

 

英國(guó)油漆與特殊化學(xué)品供應(yīng)商ICI公司的CISO(首席信息安全官)Paul Simmonds認(rèn)為,通過(guò)系統(tǒng)地從財(cái)務(wù)角度評(píng)估企業(yè)安全態(tài)勢(shì)和提出改進(jìn)建議,CSO(首席安全官)可以在企業(yè)董事會(huì)上贏得安全項(xiàng)目的投資。Simmonds說(shuō):“與董事會(huì)的交流必須從錢(qián)的角度來(lái)談。比如:不做這件事讓我們損失了這么多錢(qián),具有這樣風(fēng)險(xiǎn)和好處的解決方案A花這么多錢(qián),具有那樣風(fēng)險(xiǎn)和好處的解決方案B花這么多錢(qián),等等。”

 

他補(bǔ)充說(shuō):“很多安全經(jīng)理沒(méi)有經(jīng)過(guò)正式的業(yè)務(wù)培訓(xùn),他們通常是走IT之路上來(lái)的,因此可能不善于從財(cái)務(wù)角度講話。或者他們沒(méi)有找到評(píng)估安全性來(lái)證明ROI(投資回報(bào))數(shù)據(jù)的方法。”

 

咨詢?nèi)耸拷ㄗh從一些已知方法入手,定量地評(píng)估企業(yè)在安全方面做的如何。

 

咨詢師Tom Walsh建議CISO參考美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)學(xué)會(huì)(NIST)的“信息技術(shù)系統(tǒng)風(fēng)險(xiǎn)管理指南”。Walsh認(rèn)為,它是分析硬件、軟件、網(wǎng)絡(luò)設(shè)備和移動(dòng)設(shè)備系統(tǒng)特征來(lái)確定“風(fēng)險(xiǎn)得分”的很好框架。

 

“一切都是基于風(fēng)險(xiǎn)或基于遵從性的。風(fēng)險(xiǎn)按可能性和影響來(lái)評(píng)分?!盬alsh說(shuō),“這種風(fēng)險(xiǎn)分析的目的是讓業(yè)務(wù)經(jīng)理了解情況,把選擇、費(fèi)用和風(fēng)險(xiǎn)擺在他們面前,幫助他們作出業(yè)務(wù)決定?!?/p>

 

System Experts公司是一家專業(yè)從事網(wǎng)絡(luò)安全的咨詢機(jī)構(gòu),公司總裁Jon Gossels也喜歡用標(biāo)準(zhǔn)作為審查的基礎(chǔ)。不過(guò),他偏愛(ài)的標(biāo)準(zhǔn)是被采納為國(guó)際ISO標(biāo)準(zhǔn)17799的英國(guó)標(biāo)準(zhǔn)7799,并將它作為定義企業(yè)安全性的基線。

 

Gossels說(shuō):“這項(xiàng)標(biāo)準(zhǔn)談的更多的是流程而不是控制以及是否有合適的政策。CSO可以把這些拿給管理層說(shuō):這是我們?nèi)绾芜M(jìn)行評(píng)估的依據(jù),這是我們需要投資的領(lǐng)域。”

 

Gossels指出,通過(guò)標(biāo)準(zhǔn)定義企業(yè)安全性的主要優(yōu)勢(shì)是因?yàn)樗菄?guó)際上普遍承認(rèn)的框架。

 

ICI的Simmonds表示,BS/ISO標(biāo)準(zhǔn)“有助于推行使你能夠采集信息的良好實(shí)踐。”他認(rèn)為,NIST標(biāo)準(zhǔn)的缺點(diǎn)是它在美國(guó)之外沒(méi)有得到承認(rèn)。Simmonds建議,CSO和CISO在找高級(jí)管理層索要安全資金時(shí),應(yīng)當(dāng)避免喋喋不休地大談標(biāo)準(zhǔn),否則,他們將失去興趣。

 

Continental公司信息安全主管Andre Gold贊同Simmonds的意見(jiàn),他認(rèn)為試圖與高級(jí)管理層討論BS7799/ISO17799或NIST標(biāo)準(zhǔn)可能是費(fèi)力不討好的嘗試。相反,在與高級(jí)管理層討論安全技術(shù)時(shí),需要一點(diǎn)巧妙的心理學(xué)。他說(shuō):“你交流的東西是安全技術(shù)如何能夠支持業(yè)務(wù),使業(yè)務(wù)流程變得效率更高或保護(hù)業(yè)務(wù)的安全,而不是交流安全技術(shù)?!?/p>

 

 “以VPN為例,我描述使用它的結(jié)果。”Gold說(shuō),“例如,通過(guò)在Internet上使用企業(yè)到企業(yè)的VPN隧道,企業(yè)可以減少電信費(fèi)用,確保所交換數(shù)據(jù)的完整性以及利用已有基礎(chǔ)設(shè)施獲得效率?!?/p>

 

他提倡利用更易于理解、同時(shí)也是構(gòu)成安全部署框架基礎(chǔ)的“參考業(yè)務(wù)構(gòu)件”來(lái)表達(dá)安全概念。  (cnw-ccw)

 

發(fā)布:2007-04-23 09:40    編輯:泛普軟件 · xiaona    [打印此頁(yè)]    [關(guān)閉]
相關(guān)文章:
石家莊OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢

泛普石家莊OA快博其他應(yīng)用

石家莊OA軟件 石家莊OA新聞動(dòng)態(tài) 石家莊OA信息化 石家莊OA快博 石家莊OA行業(yè)資訊 石家莊軟件開(kāi)發(fā)公司 石家莊門(mén)禁系統(tǒng) 石家莊物業(yè)管理軟件 石家莊倉(cāng)庫(kù)管理軟件 石家莊餐飲管理軟件 石家莊網(wǎng)站建設(shè)公司