信息安全管理如何實行量化、可復(fù)用操作

申請免費(fèi)試用、咨詢電話：400-8352-114

發(fā)達(dá)的科學(xué)和通訊技術(shù)和手段，在給人們的溝通和聯(lián)系帶來便利的同時，還帶來了煩惱。想必你的電子郵箱和手機(jī)里，經(jīng)常會收到類似公關(guān)培訓(xùn)和房地產(chǎn)信息的垃圾郵件和短信。也許你的手機(jī)會接到陌生號碼的來電，接通之后是有人向你推銷某健身俱樂部的服務(wù)優(yōu)惠。而更令你驚奇的是，對方可以準(zhǔn)確地叫出你的名字，并結(jié)合你的工作職業(yè)推銷特定的服務(wù)。也許這時候你的感覺更多的是驚恐，而不是驚奇。是誰泄露了你的個人信息?

2007年12月，英國保險公司NorwichUnion的資料被人盜取，騙走330萬英鎊人壽保險金。今年4月7日，英國匯豐銀行宣布丟失一張重要的電腦光盤，光盤內(nèi)存有37萬名壽險投?？蛻糍Y料，包括姓名、生日和投保等級。

當(dāng)個人在擔(dān)心自己的個人信息是否安全的時候，公司的CIO和管理層也在為公司信息安全的管理問題而頭疼。信息安全的管理，要用到IT系統(tǒng)。作為一個公司的CIO,越來越多的問到的問題是:一個公司的IT系統(tǒng)的成功是用什么方法來衡量的?用什么辦法告訴公司的管理層，現(xiàn)在的IT系統(tǒng)是安全的，有多安全?對于公司的IT系統(tǒng)，對于安全機(jī)制的資源投放是什么樣的，投放了多少，投放之后是否真的安全?

對于公司IT系統(tǒng)的安全問題，不僅僅是CIO要關(guān)心和關(guān)注的，公司的管理層也希望通過量化的數(shù)據(jù)和分析來知道系統(tǒng)在一段時間之后是否有所改進(jìn)，而改進(jìn)了之后，是否獲得了預(yù)期的效果，改進(jìn)的東西能否真正的成功?

對公司信息安全管理進(jìn)行量化，可以讓公司管理層、CIO，甚至公司的基層員工都明白在信息安全管理方面做的事情是對公司有回報的。

如何對信息安全管理實行量化?首先要建立一套安全機(jī)制的評估方法，并且，要在這時候確立好評估所要達(dá)到的重要目標(biāo)是什么。因為，在評估和量化的過程后，要參照這個重要目標(biāo)來判定量化之后是否對于公司的信息安全風(fēng)險控制和安全管理有所幫助。需要特別注意的一點(diǎn)是，這套評估方法最好是可以重復(fù)使用的。在重復(fù)使用的過程中，還要求這套機(jī)制具有可比性，這樣的目的是在量化和評估之后可以清晰地看到哪些步驟和方法是需要改善和修正的。（CIO時代）