當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 行業(yè)ERP > 外貿(mào)ERP
企業(yè)應(yīng)當(dāng)如何編制信息安全策略
申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114
來源:泛普軟件信息安全策略是信息安全項(xiàng)目的基石。它應(yīng)當(dāng)反映一個(gè)企業(yè)的安全目標(biāo),以及企業(yè)為保障信息安全而制定的管理策略。因此,為了實(shí)施信息安全策略的后續(xù)措施,管理人員必須取得一致意見。在策略的內(nèi)容問題上存在爭論將會(huì)影響后續(xù)的強(qiáng)化階段,其結(jié)果就是導(dǎo)致信息安全項(xiàng)目“發(fā)育不良”。這意味著,為了編制信息安全策略文檔,企業(yè)必須擁有明確定義的安全目標(biāo),以及為保障信息安全而編制的管理策略。 安全與管理不能分家
市場上集成了安全策略的產(chǎn)品中,很少有哪種方案能夠同時(shí)讓安全專家和管理人員都滿意。試圖教育管理人員如何思考安全問題并非恰當(dāng)?shù)姆椒?。相反,?gòu)建安全策略的首要一步是明確管理部門如何看待安全。因?yàn)椋^的安全策略就是關(guān)于信息安全的一套管理要求,這些要求向安全專業(yè)人員提供了規(guī)范指南。另一方面,安全專業(yè)人員向管理人員提供規(guī)范指南,容易忽略管理需求。
安全專業(yè)人員應(yīng)當(dāng)吸取管理人員的觀點(diǎn),不妨向其“討教”下面這些與信息安全有關(guān)的問題:
1、你如何描述自己所接觸的信息類型?
2、你依賴哪類信息做出決策?
3、有沒有哪些信息比其它信息更加需要保密?
根據(jù)這些問題,就可以制定信息分類系統(tǒng)(例如,形成客戶信息、財(cái)務(wù)信息、銷售信息等),每種信息系統(tǒng)的正確處理過程都可在業(yè)務(wù)處理層次上描述。
當(dāng)然,老練的安全專家還可提供獨(dú)到的建議,從而影響管理人員關(guān)于組織策略的管理觀點(diǎn)。一旦安全專家完全理解了管理部門的觀點(diǎn),就有可能介紹一個(gè)與管理部門一致的安全框架。該框架將會(huì)成為企業(yè)信息安全項(xiàng)目的基石,為構(gòu)建信息安全策略提供指南。
通常,安全業(yè)的標(biāo)準(zhǔn)文檔被用作基準(zhǔn)框架。這種方法很合理,因?yàn)樗扔兄诖_保公司管理層充分地接受策略,也有利于外部審核者和參與企業(yè)信息安全項(xiàng)目的其它人接受。
然而,這些文檔從其本質(zhì)上說并不具體,并不描述特定的安全管理目標(biāo)。所以它們必須與管理部門的信息相結(jié)合,才能產(chǎn)生策略指南。此外,為了保持與標(biāo)準(zhǔn)文檔的一致性,期望管理部門改變其管理方式也不合理。但是,信息安全專業(yè)人員可以從這些文檔中獲取良好的安全管理方法,并可以看出是否可以將其整合到企業(yè)當(dāng)前的結(jié)構(gòu)中。
保證安全策略的可行性
安全策略應(yīng)當(dāng)反映真正的實(shí)踐。否則,策略發(fā)布之時(shí),即企業(yè)違規(guī)之時(shí)。要保持策略的簡易可行,信息安全項(xiàng)目要能夠強(qiáng)化策略,同時(shí)又可以解決存在爭論的問題。
保持策略簡易的另外一個(gè)原因是,人們都清楚策略并不存在例外情況,因而他們會(huì)更愿意預(yù)先保持策略的可行性,其目的是為了保證自己能夠遵循策略。如果你的策略中出現(xiàn)了這樣的語句,“經(jīng)由主管經(jīng)理同意,可以不受該策略的約束”,那么,策略文檔就毫無價(jià)值了。策略文檔就不再代表管理部門對(duì)信息安全項(xiàng)目的許諾,而是代表策略將無法實(shí)施。在遵循信息安全策略時(shí),必須能夠與遵循企業(yè)內(nèi)部的其它策略一樣處于同等水平。策略的言辭必須能夠確保得到主管人員的完全同意。
例如,假設(shè)在是否準(zhǔn)許用戶訪問可移動(dòng)媒體(如USB存儲(chǔ)設(shè)備)的問題上存在著爭論。安全專業(yè)人員相信絕對(duì)不應(yīng)當(dāng)準(zhǔn)許這種訪問,而技術(shù)經(jīng)理可能會(huì)認(rèn)為負(fù)責(zé)數(shù)據(jù)操作的技術(shù)實(shí)施部門必須可以將數(shù)據(jù)移動(dòng)或復(fù)制到任何介質(zhì)上。在策略水平上,受到多數(shù)人意見的推動(dòng),將會(huì)出現(xiàn)這樣的表述,“對(duì)移動(dòng)介質(zhì)設(shè)備的所有訪問要得到主管經(jīng)理的認(rèn)可。”技術(shù)主管經(jīng)理認(rèn)可過程的細(xì)節(jié)可以進(jìn)一步討論和協(xié)商。而一般性的策略表述仍要阻止任何人在沒有得到主管經(jīng)理同意的情況下使用移動(dòng)存儲(chǔ)介質(zhì)。
在大型企業(yè)中,策略遵循的細(xì)節(jié)可能大相徑庭。在這種情況下,根據(jù)人員(員工)來區(qū)分策略就比較恰當(dāng)。整個(gè)企業(yè)范圍內(nèi)的策略將成為一種全局策略,它包括信息安全方面最常見的范圍和規(guī)范。不同的分支機(jī)構(gòu)需要發(fā)布自己的策略。如果子策略文檔的人員在公司范圍內(nèi)有著確切的定義,這種分布式策略就極為有效。在這種情況下,為了更新這些文檔,不必謀求同層管理部門的許可。
例如,信息技術(shù)的操作策略應(yīng)當(dāng)僅需要信息技術(shù)部門的領(lǐng)導(dǎo)許可,當(dāng)然,它要與全局的安全策略保持一致,并僅將管理部門的許可增加到全局的安全策略中。策略應(yīng)當(dāng)包含這種表述,如“僅有授權(quán)的管理員能夠?qū)Σ僮飨到y(tǒng)作出更改”。還有,“僅能在獲得授權(quán)的變更控制過程中才能訪問普通ID的口令”。
信息安全策略應(yīng)當(dāng)包含哪些方面?
那么,信息安全策略中應(yīng)當(dāng)至少包含哪些信息呢?這種策略應(yīng)當(dāng)至少足以傳達(dá)關(guān)于安全方面的管理目標(biāo)和方向,因而它應(yīng)當(dāng)包含:
1、范圍。它應(yīng)當(dāng)涉及企業(yè)內(nèi)所有信息、系統(tǒng)、設(shè)施、程序、數(shù)據(jù)、網(wǎng)絡(luò)、所有的技術(shù)用戶,絕無例外。
2、信息分類。策略應(yīng)當(dāng)提供特定內(nèi)容的定義而不是一般化的“機(jī)密”或“限制”。
3、在每種信息分類中安全信息處理的管理目標(biāo)。例如,法律、法規(guī)、安全方面的合同義務(wù)等,這些都可以整合,并表述為通用的目標(biāo),如“客戶的私密信息不應(yīng)當(dāng)以明文形式授權(quán)給除客戶代表之外的任何人,并且僅能用于與客戶交流的目的?!?/P>
4、其它管理要求和補(bǔ)充文檔的策略布置(例如,它要由所有主管階層的同意,所有的其它信息處理文檔必須與其保持一致。)
5、用于參考的證明文件(例如,流程、技術(shù)標(biāo)準(zhǔn)、程序、指南等。)
6、對(duì)企業(yè)范圍內(nèi)行之有效的安全要求和規(guī)范的具體規(guī)定。(例如,對(duì)任何計(jì)算系統(tǒng)的所有訪問都要求身份確認(rèn)和驗(yàn)證,不能共享個(gè)人的認(rèn)證機(jī)制)。
7、指明確切、具體的責(zé)任。(例如,技術(shù)部門是電信線路的唯一提供者。)
8、違反策略(不合規(guī))時(shí)所面臨的后果(例如,解聘或合同中止等)。
上述清單足以保證信息安全策略的完整性,當(dāng)然,其前提條件是,規(guī)定具體安全措施的責(zé)任要在“輔助文檔”和“責(zé)任”部分進(jìn)行定義和描述。雖然第6和7兩個(gè)方面可能包含許多關(guān)于安全措施的其它細(xì)節(jié),為了保證策略的可讀性,應(yīng)設(shè)法減少其數(shù)量,并依靠子策略或證明文檔來包含各種要求。再有,在策略水平上的完整合規(guī)比讓策略包括大量的細(xì)節(jié)更為重要。
注意,策略的形成過程在策略文檔之外。關(guān)于策略的核準(zhǔn)、更新和版本控制應(yīng)當(dāng)謹(jǐn)慎保留,并且在審計(jì)策略的過程中要保持其可用性。
- 1外資EPR系統(tǒng)實(shí)施方式的優(yōu)化對(duì)策講解
- 2國外企業(yè)實(shí)施CRM的經(jīng)驗(yàn)
- 3績效管理,表格背后的管理
- 4傳統(tǒng)外貿(mào)erp系統(tǒng)為何效益不彰?
- 5從供應(yīng)導(dǎo)向到需求導(dǎo)向泛普軟件外貿(mào)erp關(guān)注需求鏈管
- 6現(xiàn)行企業(yè)運(yùn)維方式的創(chuàng)新
- 7ERP應(yīng)用亟待整合、深入和細(xì)化
- 8穿越虛擬化 構(gòu)建云計(jì)算時(shí)代高可性集群應(yīng)用
- 9如何讓客戶相信外貿(mào)erp溫州友和“攻心為上”
- 10企業(yè)自行開發(fā)還是選用成熟商品化的外貿(mào)erp?
- 11海爾的顧客服務(wù)應(yīng)用實(shí)施
- 12企業(yè)信息化案例:香港一家企業(yè)的CRM應(yīng)用報(bào)告
- 13改善你的潛在客戶的10個(gè)簡便之法
- 14 IFS--敏捷的外貿(mào)erp解決方案
- 15ERP信息系統(tǒng)對(duì)全面預(yù)算管理支持的現(xiàn)狀
- 16運(yùn)營商的CRM革命矛盾之先改革還是先規(guī)范企業(yè)戰(zhàn)略
- 17決定協(xié)同軟件成敗的關(guān)鍵因素
- 18構(gòu)建企業(yè)資源規(guī)劃系統(tǒng)的需求評(píng)估
- 19在虛擬環(huán)境中的存儲(chǔ)性能挑戰(zhàn)
- 20CRM對(duì)直銷企業(yè)提供的服務(wù)將產(chǎn)生企業(yè)戰(zhàn)略價(jià)值
- 21組織與流程孰輕孰重
- 22外貿(mào)erp重要性
- 23博科資訊:現(xiàn)代企業(yè)之供應(yīng)鏈管理修煉
- 24行業(yè)用戶如何看待CRM
- 25基于電子商務(wù)的企業(yè)資源計(jì)劃管理系統(tǒng)方案
- 26基于集團(tuán)e-HR的薪酬管控實(shí)現(xiàn)
- 27企業(yè)ERP項(xiàng)目要做到未雨綢繆
- 28家具行業(yè)解決方案
- 29銀行業(yè)信息化實(shí)踐之開展客戶關(guān)系管理的問題
- 30CRM進(jìn)階:認(rèn)識(shí)CRM軟件的基本功能
成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓