監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 甲方項(xiàng)目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關(guān)閉
外貿(mào)ERP

當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 行業(yè)ERP > 外貿(mào)ERP

企業(yè)應(yīng)當(dāng)如何編制信息安全策略

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

來源:泛普軟件

信息安全策略是信息安全項(xiàng)目的基石。它應(yīng)當(dāng)反映一個(gè)企業(yè)的安全目標(biāo),以及企業(yè)為保障信息安全而制定的管理策略。因此,為了實(shí)施信息安全策略的后續(xù)措施,管理人員必須取得一致意見。在策略的內(nèi)容問題上存在爭論將會(huì)影響后續(xù)的強(qiáng)化階段,其結(jié)果就是導(dǎo)致信息安全項(xiàng)目“發(fā)育不良”。這意味著,為了編制信息安全策略文檔,企業(yè)必須擁有明確定義的安全目標(biāo),以及為保障信息安全而編制的管理策略。  安全與管理不能分家

市場上集成了安全策略的產(chǎn)品中,很少有哪種方案能夠同時(shí)讓安全專家和管理人員都滿意。試圖教育管理人員如何思考安全問題并非恰當(dāng)?shù)姆椒?。相反,?gòu)建安全策略的首要一步是明確管理部門如何看待安全。因?yàn)椋^的安全策略就是關(guān)于信息安全的一套管理要求,這些要求向安全專業(yè)人員提供了規(guī)范指南。另一方面,安全專業(yè)人員向管理人員提供規(guī)范指南,容易忽略管理需求。

安全專業(yè)人員應(yīng)當(dāng)吸取管理人員的觀點(diǎn),不妨向其“討教”下面這些與信息安全有關(guān)的問題:

1、你如何描述自己所接觸的信息類型?

2、你依賴哪類信息做出決策?

3、有沒有哪些信息比其它信息更加需要保密?

根據(jù)這些問題,就可以制定信息分類系統(tǒng)(例如,形成客戶信息、財(cái)務(wù)信息、銷售信息等),每種信息系統(tǒng)的正確處理過程都可在業(yè)務(wù)處理層次上描述。

當(dāng)然,老練的安全專家還可提供獨(dú)到的建議,從而影響管理人員關(guān)于組織策略的管理觀點(diǎn)。一旦安全專家完全理解了管理部門的觀點(diǎn),就有可能介紹一個(gè)與管理部門一致的安全框架。該框架將會(huì)成為企業(yè)信息安全項(xiàng)目的基石,為構(gòu)建信息安全策略提供指南。

通常,安全業(yè)的標(biāo)準(zhǔn)文檔被用作基準(zhǔn)框架。這種方法很合理,因?yàn)樗扔兄诖_保公司管理層充分地接受策略,也有利于外部審核者和參與企業(yè)信息安全項(xiàng)目的其它人接受。

然而,這些文檔從其本質(zhì)上說并不具體,并不描述特定的安全管理目標(biāo)。所以它們必須與管理部門的信息相結(jié)合,才能產(chǎn)生策略指南。此外,為了保持與標(biāo)準(zhǔn)文檔的一致性,期望管理部門改變其管理方式也不合理。但是,信息安全專業(yè)人員可以從這些文檔中獲取良好的安全管理方法,并可以看出是否可以將其整合到企業(yè)當(dāng)前的結(jié)構(gòu)中。

保證安全策略的可行性

安全策略應(yīng)當(dāng)反映真正的實(shí)踐。否則,策略發(fā)布之時(shí),即企業(yè)違規(guī)之時(shí)。要保持策略的簡易可行,信息安全項(xiàng)目要能夠強(qiáng)化策略,同時(shí)又可以解決存在爭論的問題。

保持策略簡易的另外一個(gè)原因是,人們都清楚策略并不存在例外情況,因而他們會(huì)更愿意預(yù)先保持策略的可行性,其目的是為了保證自己能夠遵循策略。如果你的策略中出現(xiàn)了這樣的語句,“經(jīng)由主管經(jīng)理同意,可以不受該策略的約束”,那么,策略文檔就毫無價(jià)值了。策略文檔就不再代表管理部門對(duì)信息安全項(xiàng)目的許諾,而是代表策略將無法實(shí)施。在遵循信息安全策略時(shí),必須能夠與遵循企業(yè)內(nèi)部的其它策略一樣處于同等水平。策略的言辭必須能夠確保得到主管人員的完全同意。

例如,假設(shè)在是否準(zhǔn)許用戶訪問可移動(dòng)媒體(如USB存儲(chǔ)設(shè)備)的問題上存在著爭論。安全專業(yè)人員相信絕對(duì)不應(yīng)當(dāng)準(zhǔn)許這種訪問,而技術(shù)經(jīng)理可能會(huì)認(rèn)為負(fù)責(zé)數(shù)據(jù)操作的技術(shù)實(shí)施部門必須可以將數(shù)據(jù)移動(dòng)或復(fù)制到任何介質(zhì)上。在策略水平上,受到多數(shù)人意見的推動(dòng),將會(huì)出現(xiàn)這樣的表述,“對(duì)移動(dòng)介質(zhì)設(shè)備的所有訪問要得到主管經(jīng)理的認(rèn)可。”技術(shù)主管經(jīng)理認(rèn)可過程的細(xì)節(jié)可以進(jìn)一步討論和協(xié)商。而一般性的策略表述仍要阻止任何人在沒有得到主管經(jīng)理同意的情況下使用移動(dòng)存儲(chǔ)介質(zhì)。

在大型企業(yè)中,策略遵循的細(xì)節(jié)可能大相徑庭。在這種情況下,根據(jù)人員(員工)來區(qū)分策略就比較恰當(dāng)。整個(gè)企業(yè)范圍內(nèi)的策略將成為一種全局策略,它包括信息安全方面最常見的范圍和規(guī)范。不同的分支機(jī)構(gòu)需要發(fā)布自己的策略。如果子策略文檔的人員在公司范圍內(nèi)有著確切的定義,這種分布式策略就極為有效。在這種情況下,為了更新這些文檔,不必謀求同層管理部門的許可。

例如,信息技術(shù)的操作策略應(yīng)當(dāng)僅需要信息技術(shù)部門的領(lǐng)導(dǎo)許可,當(dāng)然,它要與全局的安全策略保持一致,并僅將管理部門的許可增加到全局的安全策略中。策略應(yīng)當(dāng)包含這種表述,如“僅有授權(quán)的管理員能夠?qū)Σ僮飨到y(tǒng)作出更改”。還有,“僅能在獲得授權(quán)的變更控制過程中才能訪問普通ID的口令”。

信息安全策略應(yīng)當(dāng)包含哪些方面?

那么,信息安全策略中應(yīng)當(dāng)至少包含哪些信息呢?這種策略應(yīng)當(dāng)至少足以傳達(dá)關(guān)于安全方面的管理目標(biāo)和方向,因而它應(yīng)當(dāng)包含:

1、范圍。它應(yīng)當(dāng)涉及企業(yè)內(nèi)所有信息、系統(tǒng)、設(shè)施、程序、數(shù)據(jù)、網(wǎng)絡(luò)、所有的技術(shù)用戶,絕無例外。

2、信息分類。策略應(yīng)當(dāng)提供特定內(nèi)容的定義而不是一般化的“機(jī)密”或“限制”。

3、在每種信息分類中安全信息處理的管理目標(biāo)。例如,法律、法規(guī)、安全方面的合同義務(wù)等,這些都可以整合,并表述為通用的目標(biāo),如“客戶的私密信息不應(yīng)當(dāng)以明文形式授權(quán)給除客戶代表之外的任何人,并且僅能用于與客戶交流的目的?!?/P>

4、其它管理要求和補(bǔ)充文檔的策略布置(例如,它要由所有主管階層的同意,所有的其它信息處理文檔必須與其保持一致。)

5、用于參考的證明文件(例如,流程、技術(shù)標(biāo)準(zhǔn)、程序、指南等。)

6、對(duì)企業(yè)范圍內(nèi)行之有效的安全要求和規(guī)范的具體規(guī)定。(例如,對(duì)任何計(jì)算系統(tǒng)的所有訪問都要求身份確認(rèn)和驗(yàn)證,不能共享個(gè)人的認(rèn)證機(jī)制)。

7、指明確切、具體的責(zé)任。(例如,技術(shù)部門是電信線路的唯一提供者。)

8、違反策略(不合規(guī))時(shí)所面臨的后果(例如,解聘或合同中止等)。

上述清單足以保證信息安全策略的完整性,當(dāng)然,其前提條件是,規(guī)定具體安全措施的責(zé)任要在“輔助文檔”和“責(zé)任”部分進(jìn)行定義和描述。雖然第6和7兩個(gè)方面可能包含許多關(guān)于安全措施的其它細(xì)節(jié),為了保證策略的可讀性,應(yīng)設(shè)法減少其數(shù)量,并依靠子策略或證明文檔來包含各種要求。再有,在策略水平上的完整合規(guī)比讓策略包括大量的細(xì)節(jié)更為重要。

注意,策略的形成過程在策略文檔之外。關(guān)于策略的核準(zhǔn)、更新和版本控制應(yīng)當(dāng)謹(jǐn)慎保留,并且在審計(jì)策略的過程中要保持其可用性。

發(fā)布:2007-04-29 10:18    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
功能詳情
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢

泛普外貿(mào)ERP其他應(yīng)用

制藥行業(yè)ERP 機(jī)械設(shè)備ERP 煤炭行業(yè)ERP 采礦行業(yè)ERP 集團(tuán)企業(yè)ERP 餐飲行業(yè)ERP 紡織行業(yè)ERP 鋼管行業(yè)ERP 電力行業(yè)ERP 化工行業(yè)ERP 汽車行業(yè)ERP 摩托車ERP 酒店行業(yè)ERP 汽配行業(yè)ERP 手機(jī)制造ERP 膠粘帶ERP 食品行業(yè)ERP 手袋箱包ERP 皮革行業(yè)ERP LED行業(yè)ERP 鑄造行業(yè)ERP 陶瓷行業(yè)ERP 造紙行業(yè)ERP 肉食行業(yè)ERP 內(nèi)燃機(jī)工程ERP 房地產(chǎn)ERP 化妝品美容ERP 石材加工ERP 電器行業(yè)ERP 通訊行業(yè)ERP 標(biāo)準(zhǔn)件ERP 珠寶行業(yè)ERP 儀器儀表ERP 快速消費(fèi)品ERP 太陽能電池ERP 農(nóng)業(yè)ERP 磁材行業(yè)ERP 中小企業(yè)ERP 鋼結(jié)構(gòu)ERP 小家電ERP 薄膜包裝ERP 石油行業(yè)ERP 百貨行業(yè)ERP 煙草行業(yè)ERP 金融行業(yè)ERP 乳制品ERP 石化行業(yè)ERP 電梯行業(yè)ERP 美容連鎖ERP 電纜行業(yè)ERP 涂料企業(yè)ERP 玩具ERP系統(tǒng) 醫(yī)療器械ERP 印刷企業(yè)ERP 鐘表ERP 薄板鋼帶ERP 電動(dòng)車ERP 零售行業(yè)ERP 中國軟包ERP 裝飾裝潢ERP 流通行業(yè)ERP 租賃行業(yè)ERP 鋁板行業(yè)ERP 教育行業(yè)ERP 裝修行業(yè)ERP 物流行業(yè)ERP 工程公司ERP 機(jī)電行業(yè)ERP 服務(wù)企業(yè)ERP 軟件企業(yè)ERP 電腦行業(yè)ERP 商貿(mào)行業(yè)ERP 針織行業(yè)ERP 特殊行業(yè)ERP 銷售行業(yè)ERP 快遞行業(yè)ERP 設(shè)計(jì)行業(yè)ERP 重工行業(yè)ERP 商業(yè)ERP系統(tǒng) 校園ERP系統(tǒng) 藥品ERP系統(tǒng) 家裝ERP 生鮮ERP系統(tǒng) 門店ERP系統(tǒng) 制衣ERP系統(tǒng) 商場ERP系統(tǒng) 線路板ERP 網(wǎng)店ERP 旅行社ERP 保險(xiǎn)行業(yè)ERP 能源行業(yè)ERP 廣告行業(yè)ERP 培訓(xùn)ERP 批發(fā)行業(yè)ERP 銀行ERP 政府ERP 漁業(yè)ERP 畜牧行業(yè)ERP 飼料行業(yè)ERP 企業(yè)ERP 物業(yè)ERP 房屋中介ERP 商業(yè)銀行ERP 園藝行業(yè)ERP 水資源管理軟件 財(cái)務(wù)公司ERP 中央銀行ERP 醫(yī)藥行業(yè)ERP 傳媒行業(yè)ERP 服裝ERP 鞋業(yè)ERP 印刷ERP 家具ERP 制造業(yè)ERP 機(jī)械ERP 混凝土ERP 生產(chǎn)ERP系統(tǒng) 倉庫ERP系統(tǒng) 外貿(mào)ERP 電子行業(yè)ERP 五金ERP 模具ERP 電商ERP系統(tǒng) 農(nóng)副加工ERP 食品制造業(yè)ERP 飲料制造業(yè)ERP 煙草制品業(yè)ERP 服裝鞋帽制造ERP 皮革毛皮及其羽絨制品業(yè)ERP 木材加工ERP 人造板制造ERP 文教體育用品ERP 醫(yī)藥制造業(yè)ERP 化學(xué)纖維制造業(yè)ERP 橡膠制品業(yè)ERP 塑料制品業(yè)ERP 非金屬礦物制品業(yè)ERP 黑色金屬冶煉加工業(yè)ERP 有色金屬冶煉加工業(yè)ERP 金屬制品業(yè)ERP 通用設(shè)備制造業(yè)ERP 專用設(shè)備制造業(yè)ERP 交通運(yùn)輸設(shè)備制造業(yè)ERP 電氣機(jī)械制造ERP 通信設(shè)備制造業(yè)ERP 油氣開采ERP 儀器儀表機(jī)械制造業(yè)ERP 工藝品及其他制造業(yè)ERP 危廢固廢處理行業(yè)erp 石油加工行業(yè)ERP 正餐服務(wù)行業(yè)ERP 綜合零售行業(yè)ERP 紡織服裝批發(fā)行業(yè)ERP 農(nóng)產(chǎn)品ERP 林業(yè)ERP 有色金屬礦采選行業(yè)ERP 環(huán)境保護(hù)管理軟件 電信傳輸服務(wù)行業(yè)erp 水上運(yùn)輸行業(yè)ERP 公共設(shè)施管理行業(yè)ERP 衛(wèi)生行業(yè)ERP 鐵路運(yùn)輸行業(yè)ERP 商務(wù)服務(wù)行業(yè)ERP 體育行業(yè)ERP 住宿行業(yè)ERP 出版社行業(yè)ERP 高等教育行業(yè)ERP 娛樂行業(yè)ERP 居民服務(wù)行業(yè)ERP 體育場館行業(yè)ERP 電力熱力生產(chǎn)供應(yīng)ERP 證券行業(yè)ERP 倉儲(chǔ)行業(yè)ERP 游樂園行業(yè)ERP 航空運(yùn)輸行業(yè)ERP 醫(yī)院ERP管理系統(tǒng) 社會(huì)保障行業(yè)ERP 中藥材種植行業(yè)ERP 生產(chǎn)和供水行業(yè)ERP 社會(huì)福利行業(yè)ERP 農(nóng)林牧漁行業(yè)ERP 金屬家具制造ERP 醫(yī)療器械批發(fā)ERP 修理與維護(hù)服務(wù)行業(yè)ERP 研究與試驗(yàn)發(fā)展行業(yè)ERP 農(nóng)業(yè)服務(wù)行業(yè)ERP 造紙及紙制品行業(yè)ERP 專業(yè)技術(shù)服務(wù)行業(yè)ERP 學(xué)前教育ERP 木質(zhì)家具制造ERP 農(nóng)畜批發(fā)ERP 文化藝術(shù)軟件 養(yǎng)殖業(yè)ERP 化學(xué)原料ERP 裝卸搬運(yùn)軟件 紡織制成品ERP 公共軟件服務(wù)系統(tǒng) 人壽保險(xiǎn)ERP 郵政行業(yè)ERP 典當(dāng)行業(yè)ERP 采鹽行業(yè)ERP 計(jì)算機(jī)維修ERP 塑料家具制造ERP 初等教育行業(yè)ERP 中等教育行業(yè)ERP 化肥行業(yè)ERP 職業(yè)教育行業(yè)ERP