信息安全重中之重 十步驟制定企業(yè)安全計劃

申請免費試用、咨詢電話：400-8352-114

信息安全重中之重 十步驟制定企業(yè)安全計劃1

【計世獨家】網(wǎng)絡和IT應用在企業(yè)內不斷得到深化，所帶來的結果就是，信息安全成為企業(yè)重要的無形資產(chǎn)。如何保護好信息，不但要在技術、規(guī)范上，還要在管理流程等多方面加以全面考慮。

不管一個企業(yè)規(guī)模如何、業(yè)務類型如何，很難說沒有發(fā)生過信息安全事件。在一些疏于防范的企業(yè)，計算機病毒爆發(fā)、利用系統(tǒng)漏洞非法入侵等信息安全事件更是時有發(fā)生。

究其原因，要歸咎于現(xiàn)在的技術、法規(guī)、業(yè)務流程、安全威脅及其他眾多因素相比于過去，復雜性大大增加，并且相互交織在一起，這大大增加了各類企業(yè)在信息安全方面所面臨的風險。

而企業(yè)內部信息存在于這樣一個復雜的生態(tài)系統(tǒng)中，還要滿足信息安全方面的三個原則: 可用性、完整性和機密性，其自身所面臨的壓力自然也就不言而喻?？捎眯砸馕吨枰畔⒌娜四軌蚣皶r獲取信息; 完整性意味著信息完整，沒有遭到破壞; 機密性意味著信息得到了保護，未授權者無法訪問。

本文根據(jù)上述的三個原則，提供了制定企業(yè)安全計劃（ESP）的一些方法和指導原則。

第一步:

管理學專家吉姆·柯林斯（Jim Collins）在《從優(yōu)秀到卓越》（Good to Great）一書中，明確表明，在啟動任何公司項目之前就應該讓相應人員參與進來，企業(yè)安全計劃項目也不例外。

在企業(yè)內部要成立兩支團隊，即經(jīng)理人團隊和跨職能部門的信息安全團隊。經(jīng)理人團隊負責確定企業(yè)安全計劃的使命、宏觀目標和具體目標，這個團隊的成員應該包括企業(yè)的高層主管。此外，這支團隊還應該負責制定重要的安全政策、設定組織風險閾值、獲得企業(yè)安全計劃所需的資金，并且成立跨職能部門的安全團隊。

跨職能部門的安全團隊則最好由更小的團隊組成，負責日常的IT安全工作，包括管理IT資產(chǎn)、評估威脅與漏洞、管理風險、制定策略、制定規(guī)程和控制手段、進行內部審計以及提供培訓服務。

第二步:

理清信息資產(chǎn)。

管理信息資產(chǎn)首先要從清點資產(chǎn)開始入手，這個步驟應當記下硬件、應用程序（包括內部和第三方組織的應用程序）、數(shù)據(jù)庫及其他信息資產(chǎn)（如網(wǎng)絡共享文件夾和FTP網(wǎng)站等）。一旦完成了清點資產(chǎn)的工作，再為每項資產(chǎn)明確一個所有人及監(jiān)護人。所有人的職責是充當被分配資產(chǎn)的聯(lián)系人，而監(jiān)護人要負責保護已存儲的信息。

然后，根據(jù)信息資產(chǎn)里面所含信息對公司具有的價值、以及一旦該資產(chǎn)受到危及，公司可能遭受的成本損失進行分析，根據(jù)結果把這些信息資產(chǎn)劃分成不同的重要等級。