如果安全人員不理解企業(yè)數(shù)據(jù)的真正價(jià)值,就很難真正理解企業(yè)面臨的真正威脅,也就無(wú)法真正理解企業(yè)的安全計(jì)劃、安全過(guò)程和程序是否真正有效。
安全人員的任務(wù)可能非常艱巨:從諸多擔(dān)心、不確定因素和似是而非的問(wèn)題中抽絲剝繭,評(píng)估不同的風(fēng)險(xiǎn)狀態(tài)和這些風(fēng)險(xiǎn)在企業(yè)發(fā)生的可能性。然后再確定如何使用必要的技術(shù)使這些風(fēng)險(xiǎn)最小化。
專注于數(shù)據(jù)
許多企業(yè)花費(fèi)了太多時(shí)間用于工具,而對(duì)于數(shù)據(jù)的重視程度卻遠(yuǎn)遠(yuǎn)不夠。與數(shù)據(jù)相比,技術(shù)相對(duì)簡(jiǎn)單。更困難的問(wèn)題是理解數(shù)據(jù),因?yàn)榇髽恰AN、主機(jī)無(wú)法限制數(shù)據(jù)。
無(wú)論IT專業(yè)人員還是一般的業(yè)務(wù)專業(yè)人士都需要認(rèn)識(shí)到企業(yè)需要部署控制和保護(hù),以跟蹤數(shù)據(jù)的流向和目的地。企業(yè)很容易在這方面犯錯(cuò)誤。當(dāng)今的企業(yè)需要保護(hù)信息的基礎(chǔ)架構(gòu)。
但這僅僅是關(guān)于數(shù)據(jù)與技術(shù)的第一項(xiàng)措施。多數(shù)公司往往并不清楚威脅。許多企業(yè)發(fā)現(xiàn),要證明“把錢花在不一定發(fā)生的潛在威脅上是合適的”非常困難。情況往往是只有在發(fā)生了危害后,企業(yè)才開(kāi)始重新評(píng)估其安全策略。
風(fēng)險(xiǎn)的概念
從何處開(kāi)始呢?要描繪企業(yè)信息風(fēng)險(xiǎn)的概況,安全管理者應(yīng)從確認(rèn)所有的關(guān)鍵業(yè)務(wù)過(guò)程及其工作方式開(kāi)始。誰(shuí)都無(wú)法保護(hù)并不了解的資產(chǎn)。安全管理者應(yīng)調(diào)查企業(yè)的邏輯和物理資產(chǎn),無(wú)論是數(shù)據(jù)、技術(shù)、人員還是過(guò)程,都必須包括在內(nèi)。
安全管理員應(yīng)與擁有這些過(guò)程涉及的人員交流,發(fā)現(xiàn)他們的風(fēng)險(xiǎn)要求和感受水平。例如,風(fēng)險(xiǎn)在何種情況下會(huì)產(chǎn)生危害?企業(yè)的敏感點(diǎn)(痛點(diǎn))在哪里?是效率還是可用性?亦或是資產(chǎn)自身?這些痛點(diǎn)在不同的企業(yè)之間是不同的。
這個(gè)過(guò)程的一部分就是要理解企業(yè)所面臨的不同風(fēng)險(xiǎn)狀況。在這些狀況中,哪些是真正可能發(fā)生的?安全管理者應(yīng)關(guān)注哪些?如何應(yīng)對(duì)這些狀況,在哪一點(diǎn)上開(kāi)始對(duì)付這種狀況?由此,安全管理者才可以部署控制、功能、框架、過(guò)程、方法、人員進(jìn)行應(yīng)對(duì)。
企業(yè)需要一種信息管理策略,以幫助企業(yè)更好地確定和實(shí)施安全策略和過(guò)程。我們不妨將信息管理策略定義為:為了管理在企業(yè)中存在和流動(dòng)的信息,企業(yè)將有益于公司的方法、策略、過(guò)程建立起來(lái)的一種集合。這種策略可以管理和監(jiān)視數(shù)據(jù)。
信息管理與評(píng)估風(fēng)險(xiǎn)和決定適當(dāng)?shù)陌踩酵瑯又匾?/p>
但管理信息遠(yuǎn)遠(yuǎn)不是通過(guò)技術(shù)保護(hù)信息那樣簡(jiǎn)單。在安全問(wèn)題上的策略和知識(shí)管理必須利用教育、培訓(xùn)等要素。
不僅僅是技術(shù)
在確認(rèn)了適當(dāng)?shù)娘L(fēng)險(xiǎn)狀況和理解了風(fēng)險(xiǎn)要求后,還要考慮到隨著時(shí)間的推移,問(wèn)題會(huì)發(fā)生變化。企業(yè)的風(fēng)險(xiǎn)要求需要重新調(diào)整。
安全管理員需要講求實(shí)效,并更現(xiàn)實(shí)地認(rèn)識(shí)這些風(fēng)險(xiǎn)。
在準(zhǔn)備好策略、過(guò)程、工具后,評(píng)估其效能就要求企業(yè)具有安全實(shí)踐和過(guò)程的專業(yè)知識(shí),并理解公司的內(nèi)部程序。這種評(píng)估可通過(guò)內(nèi)部的專業(yè)人員或外部的審計(jì)人員實(shí)施。
當(dāng)然,問(wèn)題是,企業(yè)要理解這些過(guò)程,從而保證其內(nèi)部安全策略的相關(guān)性和最新。安全是一個(gè)不斷演變的問(wèn)題,它不可一蹴而就,而是應(yīng)當(dāng)經(jīng)常評(píng)估和修訂,以應(yīng)對(duì)不斷變化的威脅。對(duì)于多數(shù)企業(yè)來(lái)說(shuō),這有可能是最大的困難。
如何評(píng)估
有專家建議在如下方面評(píng)估企業(yè)的安全準(zhǔn)備水平,或評(píng)估當(dāng)前狀態(tài)與目標(biāo)狀態(tài)的差距:
1.安全文化。評(píng)估企業(yè)在安全意識(shí)培訓(xùn)中是否使用多種方法。
2.審計(jì)問(wèn)題。評(píng)估企業(yè)是否將安全問(wèn)題包含在項(xiàng)目計(jì)劃和變更管理過(guò)程中。
3.合規(guī)管理。評(píng)估企業(yè)是否為合規(guī)管理過(guò)程明確地規(guī)定了責(zé)任和義務(wù)。
4.策略和過(guò)程管理。評(píng)估企業(yè)將物理安全整合到其它過(guò)程的程度。
5.事件管理。評(píng)估企業(yè)的事件監(jiān)視是否包括了所有的安全方面。
6.風(fēng)險(xiǎn)分析。評(píng)估企業(yè)是否將風(fēng)險(xiǎn)分析的結(jié)果明確地傳達(dá)給所有重大項(xiàng)目的項(xiàng)目團(tuán)隊(duì)。
7.漏洞管理。評(píng)估企業(yè)用安全策略和過(guò)程審計(jì)是否合規(guī)的頻率。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標(biāo)題:企業(yè)信息安全:不打無(wú)準(zhǔn)備之仗
本文網(wǎng)址:http://www.guhuozai8.cn/html/consultation/10839517265.html
相關(guān)文章
