信息安全重中之重 十步驟制定企業(yè)安全計(jì)劃

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

信息安全重中之重 十步驟制定企業(yè)安全計(jì)劃1

【計(jì)世獨(dú)家】網(wǎng)絡(luò)和IT應(yīng)用在企業(yè)內(nèi)不斷得到深化，所帶來(lái)的結(jié)果就是，信息安全成為企業(yè)重要的無(wú)形資產(chǎn)。如何保護(hù)好信息，不但要在技術(shù)、規(guī)范上，還要在管理流程等多方面加以全面考慮。

不管一個(gè)企業(yè)規(guī)模如何、業(yè)務(wù)類型如何，很難說(shuō)沒(méi)有發(fā)生過(guò)信息安全事件。在一些疏于防范的企業(yè)，計(jì)算機(jī)病毒爆發(fā)、利用系統(tǒng)漏洞非法入侵等信息安全事件更是時(shí)有發(fā)生。

究其原因，要?dú)w咎于現(xiàn)在的技術(shù)、法規(guī)、業(yè)務(wù)流程、安全威脅及其他眾多因素相比于過(guò)去，復(fù)雜性大大增加，并且相互交織在一起，這大大增加了各類企業(yè)在信息安全方面所面臨的風(fēng)險(xiǎn)。

而企業(yè)內(nèi)部信息存在于這樣一個(gè)復(fù)雜的生態(tài)系統(tǒng)中，還要滿足信息安全方面的三個(gè)原則: 可用性、完整性和機(jī)密性，其自身所面臨的壓力自然也就不言而喻?？捎眯砸馕吨枰畔⒌娜四軌蚣皶r(shí)獲取信息; 完整性意味著信息完整，沒(méi)有遭到破壞; 機(jī)密性意味著信息得到了保護(hù)，未授權(quán)者無(wú)法訪問(wèn)。

本文根據(jù)上述的三個(gè)原則，提供了制定企業(yè)安全計(jì)劃（ESP）的一些方法和指導(dǎo)原則。

第一步:

管理學(xué)專家吉姆·柯林斯（Jim Collins）在《從優(yōu)秀到卓越》（Good to Great）一書(shū)中，明確表明，在啟動(dòng)任何公司項(xiàng)目之前就應(yīng)該讓相應(yīng)人員參與進(jìn)來(lái)，企業(yè)安全計(jì)劃項(xiàng)目也不例外。

在企業(yè)內(nèi)部要成立兩支團(tuán)隊(duì)，即經(jīng)理人團(tuán)隊(duì)和跨職能部門的信息安全團(tuán)隊(duì)。經(jīng)理人團(tuán)隊(duì)負(fù)責(zé)確定企業(yè)安全計(jì)劃的使命、宏觀目標(biāo)和具體目標(biāo)，這個(gè)團(tuán)隊(duì)的成員應(yīng)該包括企業(yè)的高層主管。此外，這支團(tuán)隊(duì)還應(yīng)該負(fù)責(zé)制定重要的安全政策、設(shè)定組織風(fēng)險(xiǎn)閾值、獲得企業(yè)安全計(jì)劃所需的資金，并且成立跨職能部門的安全團(tuán)隊(duì)。

跨職能部門的安全團(tuán)隊(duì)則最好由更小的團(tuán)隊(duì)組成，負(fù)責(zé)日常的IT安全工作，包括管理IT資產(chǎn)、評(píng)估威脅與漏洞、管理風(fēng)險(xiǎn)、制定策略、制定規(guī)程和控制手段、進(jìn)行內(nèi)部審計(jì)以及提供培訓(xùn)服務(wù)。

第二步:

理清信息資產(chǎn)。

管理信息資產(chǎn)首先要從清點(diǎn)資產(chǎn)開(kāi)始入手，這個(gè)步驟應(yīng)當(dāng)記下硬件、應(yīng)用程序（包括內(nèi)部和第三方組織的應(yīng)用程序）、數(shù)據(jù)庫(kù)及其他信息資產(chǎn)（如網(wǎng)絡(luò)共享文件夾和FTP網(wǎng)站等）。一旦完成了清點(diǎn)資產(chǎn)的工作，再為每項(xiàng)資產(chǎn)明確一個(gè)所有人及監(jiān)護(hù)人。所有人的職責(zé)是充當(dāng)被分配資產(chǎn)的聯(lián)系人，而監(jiān)護(hù)人要負(fù)責(zé)保護(hù)已存儲(chǔ)的信息。

然后，根據(jù)信息資產(chǎn)里面所含信息對(duì)公司具有的價(jià)值、以及一旦該資產(chǎn)受到危及，公司可能遭受的成本損失進(jìn)行分析，根據(jù)結(jié)果把這些信息資產(chǎn)劃分成不同的重要等級(jí)。