重中之重 企業信息安全計劃指導原則

網絡和IT應用在企業內不斷得到深化,所帶來的結果就是,信息安全成爲企業重要的無形資産。如何保護好信息,不但要在技術、規範上,還要在管理流程等多方面加以全面考慮。

不管一個企業規模如何、業務類型如何,很難說沒有發生過信息安全事件。在一些疏于防範的企業,計算機病毒爆發、利用系統漏洞非法入侵等信息安全事件更是時有發生。

究其原因,要歸咎于現在的技術、法規、業務流程、安全威脅及其他衆多因素相比于過去,複雜性大大增加,並且相互交織在一起,這大大增加了各類企業在信息安全方面所面臨的風險。

而企業內部信息存在于這樣一個複雜的生態系統中,還要滿足信息安全方面的三個原則: 可用性、完整性和機密性,其自身所面臨的壓力自然也就不言而喻。可用性意味著需要信息的人能夠及時獲取信息; 完整性意味著信息完整,沒有遭到破壞; 機密性意味著信息得到了保護,未授權者無法訪問。

本文根據上述的三個原則,提供了制定企業安全計劃(ESP)的一些方法和指導原則。

第一步:成立信息安全團隊。

管理學專家吉姆•柯林斯(Jim Collins)在《從優秀到卓越》(Good to Great)一書中,明確表明,在啓動任何公司項目之前就應該讓相應人員參與進來,企業安全計劃項目也不例外。

在企業內部要成立兩支團隊,即經理人團隊和跨職能部門的信息安全團隊。經理人團隊負責確定企業安全計劃的使命、宏觀目標和具體目標,這個團隊的成員應該包括企業的高層主管。此外,這支團隊還應該負責制定重要的安全政策、設定組織風險阈值、獲得企業安全計劃所需的資金,並且成立跨職能部門的安全團隊。

跨職能部門的安全團隊則最好由更小的團隊組成,負責日常的IT安全工作,包括管理IT資産、評估威脅與漏洞、管理風險、制定策略、制定規程和控制手段、進行內部審計以及提供培訓服務。

第二步: 理清信息資産。

管理信息資産首先要從清點資産開始入手,這個步驟應當記下硬件、應用程序(包括內部和第三方組織的應用程序)、數據庫及其他信息資産(如網絡共享文件夾和FTP網站等)。一旦完成了清點資産的工作,再爲每項資産明確一個所有人及監護人。所有人的職責是充當被分配資産的聯系人,而監護人要負責保護已存儲的信息。

然後,根據信息資産裏面所含信息對公司具有的價值、以及一旦該資産受到危及,公司可能遭受的成本損失進行分析,根據結果把這些信息資産劃分成不同的重要等級。

第三步:明確法規要求及行業標准。

法規就是命令,就是確保信息安全的強制性法律要求。例如醫療服務提供商及金融服務行業的大多數公司就都會遵守某些指導准則。支付卡行業(PCI)數據安全標准和ISO 27001等標准已經成爲行業內的最佳實踐。

經理人團隊要確定必須遵守哪些法規和標准以保證信息安全。

第四步:評估威脅、漏洞和風險。

威脅是給信息資源帶來危險的來源。列出所有相關威脅、對它們進行分類,並根據重要性進行評定,這是一項重要工作。

漏洞是系統當中的薄弱環節或缺陷,有人可能無意或有意利用這些漏洞,從而引發安全泄密事件。漏洞多存在于人員、流程和技術當中。建議列出可能存在的種種漏洞,然後根據它們對組織的影響來進行評定。

風險是指可能會給組織帶來不利結果的潛在事件或狀況。在一般情況下,風險由威脅和漏洞共同引發。例如微軟Outlook中的技術漏洞以及打開未知附件導致的漏洞,就有可能被Mydoom病毒加以利用,最終導致網絡帶寬損失。第五步: 有效管理風險。

風險管理側重于避免、緩解或轉移風險。風險管理首先需要列出各種風險,根據發生的可能性以及對組織的影響大小對各種風險進行分類。通過可能性和影響共同來劃分這些風險的優先級。對一家組織來說,影響大、發生可能性大的風險就是“高優先級對待的風險”。

一旦劃分了風險的優先級,就可以確定采用何種方式來應對風險。比方說,可以使用Lotus Notes替代Outlook來避免Mydoom病毒攻擊的風險; 可以安裝最新的反病毒軟件、教育用戶不要打開可疑附件來緩解風險; 也可以與第三方廠商簽訂合同,讓對方滿足自己在電子郵件方面的所有要求來轉移風險。

第六步:

制定事件管理與災難恢複方案。

安全泄密事件、無意中丟失IT資産、不小心刪除了關鍵數據、數據中心出現停電事故,這些事件在現實生活中並不少見。良好的事件響應方案可以清晰地列出針對最常見事件的應對策略。事實證明,“9•11”事件和“卡特裏娜”飓風之後,沒有制訂災難恢複方案的公司都無法在短期內重新恢複業務。

第七步:管理第三方組織。

廠商、供應商和中間商,這些第三方組織在複雜的信息生態系統中占據了重要的位置。如果與企業有聯系的第三方組織存在不安全的網絡漏洞或不規範的行爲規範,那很有可能會帶來安全漏洞,給不法分子以可趁之機,威脅企業的信息安全。

因此企業用戶要列出與自己有業務往來的所有第三方組織,然後根據信息重疊或共享的程度以及信息所具有的重要性,劃分這些第三方組織的優先級。然後,繼續弄清楚第三方組織落實了哪些安全措施,同時要求對方必須實施有效的控制手段。

第八步: 實施安全控制手段。

控制手段是爲了緩解或消除風險而落實的措施。技術性控制手段是指可以集成到計算機硬件、軟件或固件當中的防範措施(比如訪問控制機制、識別與驗證機制、加密方法、入侵檢測軟件)。非技術性控制手段是指管理和操作控制措施,比如安全策略、操作規程以及人員、物理和環境安全。

控制手段通常分成預防控制手段和檢測控制手段。預防控制手段旨在阻止企圖違反安全策略的任何行爲,檢測控制手段旨在警告違反或企圖違反安全策略的情況。

第九步:加強培訓。

企業經常忽視對員工開展安全培訓,但是培訓對執行企業安全計劃而言卻是關鍵所在。要是員工對筆記本電腦粗心大意、連接到工作場所以外的不安全網絡,或者不能識別哪些是可疑行爲,那麽各種技術防範和安全措施都會變得無濟于事。

第十步:進行內外審計。

內部審計可確保各種策略和規程落實到位,並且了解控制手段是否得到了執行,需要遵守的法律法規和強制性要求是否得到了滿足,風險是否得到了管理,還可以明確各種安全方案是否得到更新,以及培訓工作的效果。

外部審計有時候是強制性的。外部審計工作往往需要請中立的第三方組織來開展客觀公正的安全評估,並且提出彌補安全漏洞方面的建議。

中創中間件公司獲“引領2011--中國信息安全十大領軍企業獎”
中創中間件公司獲“引領2011--中國信息安全十大領軍企業獎”
  7月9日,作爲中國國際信息節核心活動的“2011中國信息安全新機遇發展論壇”在青島香格裏拉大酒店舉行。中創中間件作爲特邀嘉賓,出席了本次論壇,並在會議中榮獲“引領2011-中國信息安全十大領軍企業獎”。   ...查看完整版>>中創中間件公司獲“引領2011--中國信息安全十大領軍企業獎”
 
天誠盛業獲2011年度中國信息安全最具影響力企業獎
  由工業和信息化部中國電子産業發展研究院主辦,中國計算機報社承辦,公安部第一研究所、中國信息安全評測中心、中國信息安全認證中心、國家計算機病毒應急處理中心、中國計算機學會計算機安全專業委員會等單位支...查看完整版>>天誠盛業獲2011年度中國信息安全最具影響力企業獎
 
企業存在的十五個信息安全問題-安全維護
  許多企事業單位的業務依賴于信息系統安全運行,信息安全重要性日益凸顯。信息已經成爲各企事業單位中的重要資源,也是一種重要的"無形財富",分析當前的信息安全問題,有十五個典型的信息安全問題急需解決。  ...查看完整版>>企業存在的十五個信息安全問題-安全維護
 
IBM推企業信息安全框架 樹立信息安全建設新標竿
  今天,IBM全球信息科技服務部推出“企業信息安全框架”(Enterprise Security Framework V5.0),旨在提供對中國企業的信息安全規劃與建設最具可行性的指導性框架,樹立了中國企業信息安全建設的新標竿。作爲完全...查看完整版>>IBM推企業信息安全框架 樹立信息安全建設新標竿
 
淺談外包企業信息安全管理幾大誤區
  (比特網)自從商務部推出服務外包“千百十工程”之後,在政府政策的大力扶持之下,國內外包産業發展的如火如荼,爲了能夠承接更多高端服務,滿足客戶的要求,商務部同時鼓勵外包企業通過國際認證以獲得更好的競...查看完整版>>淺談外包企業信息安全管理幾大誤區
 
方正NBAD解決金融企業信息安全憂患
  根據知名全球防毒研發暨技術支持中心分析歸納指出,企業信息管理部門管理員目前面臨的信息與網絡的安全管理難題,主要有以下六點:  (1) 面臨30%更多的未知、有目的的惡意程序, 特征基礎的防毒、安全設備,...查看完整版>>方正NBAD解決金融企業信息安全憂患
 
清華同方商用電腦守護企業信息安全
  力拓間諜門事件因給中國整個鋼鐵行業帶來高達7000多億元的經濟損失而備受關注。同樣讓人關注的還有力拓上海辦事處內的一台計算機。國家安全部門調查後有了驚人的發現:在這台計算機內,竟然存有數十家中國鋼鐵生...查看完整版>>清華同方商用電腦守護企業信息安全
 
民族企業強強聯合 共築信息安全長城
  2009年7月16日,聯想網禦與江民科技在京成立“黑客攻擊與網絡病毒研究聯合實驗室”,並簽訂了補充合作協議。根據協議,雙方在繼續保持上一階段“網絡病毒特征庫”合作的同時,將逐步開展在産品應用解決方案和技術...查看完整版>>民族企業強強聯合 共築信息安全長城
 
大東網絡:企業需重視網絡信息安全
  信息2.0時代,世界被互聯網鏟平,信息不段創造財富。增強企業實力,中小企業加速信息化戰略的推進,國內中小企業的信息化平台將進入高速發展的階段。隨之而來,網絡信息安全問題被越來越多的企業所重視,垃圾郵件...查看完整版>>大東網絡:企業需重視網絡信息安全
 
 
回到王朝網路移動版首頁