建立企業(yè)的信息安全的流程
一個(gè)企業(yè)如果需要建立信息安全體系架構(gòu),一般的流程如下:
1、分析企業(yè)的信息安全目標(biāo),即企業(yè)在未來的3-5年的安全目標(biāo)是什么?在信息安全方面達(dá)到什么樣的程度?
2、有了安全目標(biāo)之后,下一步我們要做的就是分析企業(yè)目前的安全現(xiàn)狀,此階段一般通過風(fēng)險(xiǎn)評(píng)估等方式來實(shí)現(xiàn),可選的方式有風(fēng)險(xiǎn)評(píng)估、安全審計(jì)、滲透測(cè)試等。
3、分析了安全現(xiàn)狀,我們接下來要做的就是分析安全目標(biāo)和安全現(xiàn)狀之間的差距,目標(biāo)有了,現(xiàn)狀也清楚了,差距自然而然也就出來了。差距分析階段主要是分析企業(yè)目前的安全現(xiàn)狀和目標(biāo)之間還存在哪些薄弱點(diǎn),并一一列舉出來,差距分析主要從組織安全、人員安全、訪問控制、物理安全、安全事件、業(yè)務(wù)連續(xù)性等方面來展開。
4、在我們得到差距之后,我們就要為企業(yè)設(shè)計(jì)安全體系架構(gòu)了,一套完整的.信息安全體系架構(gòu),應(yīng)包括技術(shù)體系架構(gòu)和管理體系架構(gòu),技術(shù)體系架構(gòu)主要是指從網(wǎng)絡(luò)、系統(tǒng)層面來設(shè)計(jì),譬如分析企業(yè)目前的網(wǎng)絡(luò)架構(gòu)是否合理?產(chǎn)品的部署是否到位?而管理體系架構(gòu)主要是指信息安全的制度建設(shè),俗話說“無(wú)規(guī)矩不成方圓”,安全問題歸根結(jié)底就是管理的問題,很多安全事件的發(fā)生都是因?yàn)楣芾聿坏轿欢a(chǎn)生的。譬如弱口令,如果企業(yè)的安全制度里有明確的要求,密碼為6位,并應(yīng)包括數(shù)字、字母、特殊字符等,這樣完全是可以避免弱口令的現(xiàn)象,再譬如補(bǔ)丁更新不及時(shí)、ACL 做的不夠等等諸如此類的問題,很大程度都是因?yàn)楣芾聿坏轿弧T谖覀兊脑u(píng)估項(xiàng)目中,我們發(fā)現(xiàn)很多時(shí)候并不是技術(shù)上不可達(dá),而是管理意識(shí)不到位。這里出現(xiàn)的比較多的是企業(yè)的高層領(lǐng)導(dǎo)的安全意識(shí)薄弱,對(duì)安全這一塊基本沒什么概念,對(duì)于管理員或安全部門提出的安全建議認(rèn)為沒有必要等等。很多安全的措施在很多企業(yè)都會(huì)出現(xiàn)實(shí)施難的問題,因?yàn)榘踩胧┰诤艽蟪潭壬蠒?huì)給員工造成不便,員工都會(huì)出現(xiàn)抵觸的情緒,在這種情況下,就需要公司的高層通過管理制度來推行安全措施,所以又歸結(jié)到管理的問題上來。
對(duì)于企業(yè)來說,如上的這些現(xiàn)象一般出現(xiàn)在中小型企業(yè),這些企業(yè)的資金比較缺乏,在公司沒有出現(xiàn)大的安全事件的時(shí)候,公司高層一般是不考慮在安全方面加大投資的,而在大型企業(yè),隨著規(guī)模的不斷壯大,網(wǎng)絡(luò)已經(jīng)成為這些企業(yè)不可缺少的部分,如果一旦出現(xiàn)安全事件,將會(huì)給企業(yè)造成嚴(yán)重的損失,如客戶資料丟失、財(cái)務(wù)數(shù)據(jù)泄密、企業(yè)形象受損等等,而大型企業(yè)的資金也比較雄厚,在安全方面的投資也就相對(duì)較多了。
另外我們?cè)谠O(shè)計(jì)信息安全體系架構(gòu)時(shí),應(yīng)充分結(jié)合企業(yè)目前的安全現(xiàn)狀和相關(guān)法律法規(guī)的要求,并應(yīng)考慮企業(yè)的運(yùn)營(yíng)成本等問題,最后需要考慮就是信息安全體系架構(gòu)設(shè)計(jì)的可執(zhí)行性了,不能出現(xiàn)一套體系出來之后,發(fā)現(xiàn)根本沒有聯(lián)系企業(yè)目前的安全現(xiàn)狀,方案的可執(zhí)行性太差等問題。
5、在我們建立了信息安全體系架構(gòu)之后,最后的階段就是實(shí)施了。在實(shí)施中,還是需要企業(yè)高層的大力支持,才能順利進(jìn)行,因?yàn)樾畔踩w系架構(gòu)的實(shí)施和運(yùn)行,比如會(huì)跨越不同的部門,在部門與部門的協(xié)調(diào)上,就需要上層領(lǐng)導(dǎo)的協(xié)調(diào)了。
6、最后階段就是 Check,信息安全體系架構(gòu)應(yīng)遵循 PDCA 的模型。我們應(yīng)及時(shí)跟蹤分析信息安全體系的建設(shè)情況,查漏補(bǔ)缺,及時(shí)發(fā)現(xiàn)不足和存在的問題,在后期的運(yùn)行維護(hù)中及時(shí)修正。
【建立企業(yè)的信息安全的流程】相關(guān)文章:
建立企業(yè)的信息安全的方法02-09
信息安全標(biāo)語(yǔ)02-08
信息安全應(yīng)急預(yù)案03-09
企業(yè)安全標(biāo)語(yǔ)02-19
企業(yè)安全征文06-15
如何維護(hù)電腦信息安全10-31