脆弱的企业信息安全防线

[转帖]朋友写脆弱企业信息安全防线

段时间针微软操作系统漏洞病毒肆虐数企业带少麻烦时间受害者惊呼感染病毒？里面乏安全设施齐备专负责公司什样公司里会病毒机？更难想象病毒仅仅进入公司部轻易公司反倒成巨攻击者

值思考仅仅次病毒面积爆发户带济损失信息损失应该更深入考虑什次病毒爆发会受害企业问题会异口声回答说：没办法根知道病毒少会想信息安全理体系滞

信息安全意义

考虑信息安全问题信息系统开始说起建设信息系统目提高业务信息处理效率然逐渐开始熟悉甚赖信息系统业务流程支持时果信息系统安全问题支持业务整组织业务必然会受影响进造成利益损失

ISO17799中样描述问题信息安全目保护信息免受方面众威胁达持续运营目威胁运营危害性降低程度提高投资收益增加商业机会难出保证业务连续性组织建立信息安全系统根目换言追求安全性实保证业务连续性

现问题深入分析

句话做三分技术七分理成功项目讲技术水高低占三成例真正起决定作素应该安全理体系然认信息安全项目施工完成万事吉太天忧心忡忡样没更令担忧企业高级理者普遍样认知

果成功项目完工企业决策者认识安全问题严重性危害性项目应该说失败实际项目仅仅完成三成工作重需理者支持七成工作没开展

什问题成功项目堪击呢？分析原总体分类：

1厂家宣传产品时夸词：IT部门项目负责讲肯定会设备选
型选购程中反反复复听类似产品先进动化智化等系列领先行业介绍产品缺陷日理字未提

2领导层员相关知识普遍足：实问题仅仅存领导层数企业员工讲知识匮乏相危险安全隐患正安全意识足导致理手段滞信息安全问题忽视

3技术员意识缺陷：网络理系统理安全理职位重点普遍技术员认知技术水高低成功企业IT理员讲成功重点技术水高超应该统筹理现设备协工作互补充

4获取信息渠道匮乏：目前作户讲常性查安全厂商页外难第二渠道时获安全提示延误第时间切断安全隐患时机

述种种信息安全系统够达预期安全目目前家思考问题

理体系作？

实理信息安全意义早已识成功实施安全理体系直探索中目前国际安全理尝试较代表性ISO13335ISO17799两安全理标准两标准评价认参考鉴价值现易见
已标准建立信息安全理体系够信息安全起作呢？

建立信息安全理体系够宏观角度全面考虑种素技术制度等等提供套基准便综合考虑种素

建立信息安全理体系够建设程中通企业种业务流程分析够较全面识种影响业务连续性风险通理系统身种风险系统身进行持续性识改进达保持更新目

通信息安全理体系种影响业务连续性风险识够轻易划分规范分析种风险重程度危害性

ISO17799ISO13335强调风险评估必性正确理解握点规划信心安全体系时候更具理性

样ISO17799ISO13335强调作求相关员进行必
常性安全培训行理念够符合整安全体系求点样关重

通信息安全理体系明确企业信息安全规范规定相关权限责信息处理必须相应控制措施保护进行

实建立信息安全体系作远仅目前信息安全界存观点理念方法探索毋庸置疑通建立信息安全体系够通安全产品技术构建安全系统更效整合企业信息安全运行成整体

围绕核心选择道路

实建设信息安全体系整体讲实施相容易环节通安全体系观点理念深入分析种行方法断探索已具备总体局部实施方法细真正建设奠定坚实基础

实施程中企业参考国际标准作实施核心外企业根身需建立实施聘请专业安全公司提供全面技术指导支持样应始终围绕核心选择适合信息安全化道路盲已工程案例

笔者参考相关国际标准家列出面核心问题希选择适合安全化道路方面家定帮助

1安全方针：制定份适合企业身情况安全方针信息安全提供理指导支持

2安全组织：应公司部理信息安全

3资产分类理：公司信息资产采取适保护措施

4员安全：通员培训考核减少错误偷窃欺诈滥信息处理设施风险

5实体环境安全：防止商业场信息未授权访问损坏干扰

6通讯运作理：确保信息处理设施正确安全运行

7访问控制：统理信息访问

8系统建立维护：确保安全体系完整纳入信息系统


9商业活动连续性理：防止商业活动中断保护关键业务程免受重障灾难影响

10符合法律：避免违反刑法民法法律法规合义务安全求

建立适合企业身信息安全理体系信息事业发展必然趋势现走路长需方面断补充完善建立运行断改进完善信息安全理体系必提高企业身安全防范力


原文：

文档香网(httpswwwxiangdangnet)户传

《香当网》用户分享的内容，不代表《香当网》观点或立场，请自行判断内容的真实性和可靠性！
该内容是文档的文本内容，更好的格式请下载文档