如今的商業(yè)信息所處的生態(tài)鏈十分復雜,其中的環(huán)節(jié)包括技術(shù)、合規(guī)要求、標準、商業(yè)流程、廠商、安全威脅、市場壓力等。這些信息在網(wǎng)絡(luò)、多應(yīng)用、數(shù)據(jù)庫、服務(wù)器中縱橫流動。

  信息安全的基本原則總體可分為三條:可用性、集成性和保密性??捎眯允侵感畔⒈仨毮軌蚣皶r向那些需要的人提供;集成性意味著信息必須完整;而保密性則是通過授權(quán)訪問來加強信息的安全。

  對企業(yè)IT來說,如何制定并實施企業(yè)安全計劃(ESP)是一件至關(guān)重要的任務(wù),專家建議可以分成以下9個細節(jié)步驟來完成。

  1:建立信息安全團隊

  一般而言,企業(yè)需要建立兩支團隊:管理團隊和跨職能安全團隊。管理團隊通常由高層管理人員組成,負責制定ESP目標、安全策略總綱、獲取預算,并建立跨職能安全團隊。

  而跨職能安全團隊則負責日常的IT安全運作,包括管理IT資產(chǎn)、評估威脅與攻擊、管理風險、建立策略、建立流程和控制,執(zhí)行內(nèi)部審計,并提供培訓。

  2:管理信息資產(chǎn)

  管理信息資產(chǎn)是從執(zhí)行現(xiàn)有IT資產(chǎn)調(diào)查開始入手。調(diào)查范圍包括硬件、應(yīng)用(內(nèi)部或第三方)、數(shù)據(jù)庫和其它信息資產(chǎn)(比如網(wǎng)絡(luò)共享文件夾、ftp站點等)。調(diào)查完成后,每種資產(chǎn)必須指明所有人或管理人,然后根據(jù)不同的風險等級、商業(yè)價值等級,或受到安全威脅后公司需要付出的成本進行分類。

  3:評估威脅、弱點和風險

  威脅是指會對信息資產(chǎn)構(gòu)成風險的源頭,列出所有的潛在威脅,基于它們的重要性進行分類評級。弱點是指可能造成安全泄露的薄弱環(huán)節(jié),范圍包括人員、流程和技術(shù)。而風險是指可能對企業(yè)造成不可預見的負面影響的事件,比如員工在email中打開不知明的附件,中了病毒或惡意程序等。

  4:管理風險

  風險管理應(yīng)當圍繞避免、減弱或轉(zhuǎn)移展開。在判定出風險等級后,就可以通過不同的方式加以處理。比如可以通過使用Lotus Notes替代Outlook、安裝最新的防毒軟件、培訓員工加強風險意識,不要打開未知附件,或?qū)mail服務(wù)外包給第三方來轉(zhuǎn)移風險。

  5:建立事件管理和容災恢復計劃

  事件管理定義比較廣泛,包括防止安全泄露、控制IT資產(chǎn)流失、保護關(guān)鍵數(shù)據(jù)的誤刪除,或?qū)?shù)據(jù)中心可能發(fā)生的供電中斷做出準備等。妥善的事件管理計劃應(yīng)當能對所有可預見的問題做出快速響應(yīng)。而根據(jù)自然力量所造成的不可預見事件所做出的響應(yīng)計劃則被稱為容災恢復計劃。

  6:管理第三方

  在信息生態(tài)鏈上,復雜性與風險性還會來自于第三方,比如服務(wù)提供商、軟件廠商或任何中間媒介。第三方網(wǎng)絡(luò)或?qū)嵺`上的不安全性隨時會對企業(yè)造成不同程度的安全漏洞。

  列出所有你所使用的第三方公司,根據(jù)信息的延伸、分享程度,以及重要性劃分等級。審核第三方是否擁有安全測量實踐,并在必要時進行控制干預。

  7:實施安全控制

  安全控制一般分為兩類:技術(shù)控制保護電腦硬件、軟件或固體(比如訪問控制機制、識別和授權(quán)機制、加密方式、入侵偵測軟件等);非技術(shù)控制管理并執(zhí)行如安全策略、操作流程、人員、物理和環(huán)境安全。

  另一種常見的控制分類方法是分為預防型控制和偵測型控制。預防性控制是通過安全策略來抑制威脅攻擊,而偵測型控制則是屬于被動式,通過提示來向操作或管理人員表明正在發(fā)生的攻擊意圖。

  8:培訓

  培訓往往是企業(yè)最容易忽略,也不愿去做出投入的一個部分。其實,哪怕技術(shù)保護和安全測量手段再先進,如果員工的安全意識薄弱,也難以充分發(fā)揮應(yīng)有的作用。而培訓員工提高安全意識,才是加強ESP的關(guān)鍵。

  9:審計

  通過定期的內(nèi)部審計來確保策略和流程的有效,控制的正確實施,合規(guī)要求完全符合,風險等級在可管理范圍內(nèi),并定時更新各種安全和培訓計劃。

  有些大型企業(yè)也會使用外部審計,好處是第三方能夠提供客觀、中立的安全評估和建議。

  小結(jié)

  如今的信息安全不再是IT一個部門的事。隨著信息生態(tài)鏈的復雜化,信息對企業(yè)重要性的提高,以及安全威脅的增多,保護信息安全已成為整個企業(yè)的共同責任。而制定一份可行、有效的ESP計劃,能幫助企業(yè)多增加一層防護罩。

責任編輯:admin