如今的商業(yè)信息所處的生態(tài)鏈?zhǔn)謴?fù)雜，其中的環(huán)節(jié)包括技術(shù)、合規(guī)要求、標(biāo)準(zhǔn)、商業(yè)流程、廠商、安全威脅、市場壓力等。這些信息在網(wǎng)絡(luò)、多應(yīng)用、數(shù)據(jù)庫、服務(wù)器中縱橫流動。

　　信息安全的基本原則總體可分為三條：可用性、集成性和保密性。可用性是指信息必須能夠及時(shí)向那些需要的人提供;集成性意味著信息必須完整;而保密性則是通過授權(quán)訪問來加強(qiáng)信息的安全。

　　對企業(yè)IT來說，如何制定并實(shí)施企業(yè)安全計(jì)劃(ESP)是一件至關(guān)重要的任務(wù)，專家建議可以分成以下9個(gè)細(xì)節(jié)步驟來完成。

　　1：建立信息安全團(tuán)隊(duì)

　　一般而言，企業(yè)需要建立兩支團(tuán)隊(duì)：管理團(tuán)隊(duì)和跨職能安全團(tuán)隊(duì)。管理團(tuán)隊(duì)通常由高層管理人員組成，負(fù)責(zé)制定ESP目標(biāo)、安全策略總綱、獲取預(yù)算，并建立跨職能安全團(tuán)隊(duì)。

　　而跨職能安全團(tuán)隊(duì)則負(fù)責(zé)日常的IT安全運(yùn)作，包括管理IT資產(chǎn)、評估威脅與攻擊、管理風(fēng)險(xiǎn)、建立策略、建立流程和控制，執(zhí)行內(nèi)部審計(jì)，并提供培訓(xùn)。

　　2：管理信息資產(chǎn)

　　管理信息資產(chǎn)是從執(zhí)行現(xiàn)有IT資產(chǎn)調(diào)查開始入手。調(diào)查范圍包括硬件、應(yīng)用(內(nèi)部或第三方)、數(shù)據(jù)庫和其它信息資產(chǎn)(比如網(wǎng)絡(luò)共享文件夾、ftp站點(diǎn)等)。調(diào)查完成后，每種資產(chǎn)必須指明所有人或管理人，然后根據(jù)不同的風(fēng)險(xiǎn)等級、商業(yè)價(jià)值等級，或受到安全威脅后公司需要付出的成本進(jìn)行分類。

　　3：評估威脅、弱點(diǎn)和風(fēng)險(xiǎn)

　　威脅是指會對信息資產(chǎn)構(gòu)成風(fēng)險(xiǎn)的源頭，列出所有的潛在威脅，基于它們的重要性進(jìn)行分類評級。弱點(diǎn)是指可能造成安全泄露的薄弱環(huán)節(jié)，范圍包括人員、流程和技術(shù)。而風(fēng)險(xiǎn)是指可能對企業(yè)造成不可預(yù)見的負(fù)面影響的事件，比如員工在email中打開不知明的附件，中了病毒或惡意程序等。

　　4：管理風(fēng)險(xiǎn)

　　風(fēng)險(xiǎn)管理應(yīng)當(dāng)圍繞避免、減弱或轉(zhuǎn)移展開。在判定出風(fēng)險(xiǎn)等級后，就可以通過不同的方式加以處理。比如可以通過使用Lotus Notes替代Outlook、安裝最新的防毒軟件、培訓(xùn)員工加強(qiáng)風(fēng)險(xiǎn)意識，不要打開未知附件，或?qū)mail服務(wù)外包給第三方來轉(zhuǎn)移風(fēng)險(xiǎn)。

　　5：建立事件管理和容災(zāi)恢復(fù)計(jì)劃

　　事件管理定義比較廣泛，包括防止安全泄露、控制IT資產(chǎn)流失、保護(hù)關(guān)鍵數(shù)據(jù)的誤刪除，或?qū)?shù)據(jù)中心可能發(fā)生的供電中斷做出準(zhǔn)備等。妥善的事件管理計(jì)劃應(yīng)當(dāng)能對所有可預(yù)見的問題做出快速響應(yīng)。而根據(jù)自然力量所造成的不可預(yù)見事件所做出的響應(yīng)計(jì)劃則被稱為容災(zāi)恢復(fù)計(jì)劃。

　　6：管理第三方

　　在信息生態(tài)鏈上，復(fù)雜性與風(fēng)險(xiǎn)性還會來自于第三方，比如服務(wù)提供商、軟件廠商或任何中間媒介。第三方網(wǎng)絡(luò)或?qū)嵺`上的不安全性隨時(shí)會對企業(yè)造成不同程度的安全漏洞。

　　列出所有你所使用的第三方公司，根據(jù)信息的延伸、分享程度，以及重要性劃分等級。審核第三方是否擁有安全測量實(shí)踐，并在必要時(shí)進(jìn)行控制干預(yù)。

　　7：實(shí)施安全控制

　　安全控制一般分為兩類：技術(shù)控制保護(hù)電腦硬件、軟件或固體(比如訪問控制機(jī)制、識別和授權(quán)機(jī)制、加密方式、入侵偵測軟件等);非技術(shù)控制管理并執(zhí)行如安全策略、操作流程、人員、物理和環(huán)境安全。

　　另一種常見的控制分類方法是分為預(yù)防型控制和偵測型控制。預(yù)防性控制是通過安全策略來抑制威脅攻擊，而偵測型控制則是屬于被動式，通過提示來向操作或管理人員表明正在發(fā)生的攻擊意圖。

　　8：培訓(xùn)

　　培訓(xùn)往往是企業(yè)最容易忽略，也不愿去做出投入的一個(gè)部分。其實(shí)，哪怕技術(shù)保護(hù)和安全測量手段再先進(jìn)，如果員工的安全意識薄弱，也難以充分發(fā)揮應(yīng)有的作用。而培訓(xùn)員工提高安全意識，才是加強(qiáng)ESP的關(guān)鍵。

　　9：審計(jì)

　　通過定期的內(nèi)部審計(jì)來確保策略和流程的有效，控制的正確實(shí)施，合規(guī)要求完全符合，風(fēng)險(xiǎn)等級在可管理范圍內(nèi)，并定時(shí)更新各種安全和培訓(xùn)計(jì)劃。

　　有些大型企業(yè)也會使用外部審計(jì)，好處是第三方能夠提供客觀、中立的安全評估和建議。

　　小結(jié)

　　如今的信息安全不再是IT一個(gè)部門的事。隨著信息生態(tài)鏈的復(fù)雜化，信息對企業(yè)重要性的提高，以及安全威脅的增多，保護(hù)信息安全已成為整個(gè)企業(yè)的共同責(zé)任。而制定一份可行、有效的ESP計(jì)劃，能幫助企業(yè)多增加一層防護(hù)罩。