九步制定企業安全計畫

2008-12-11 15:23

資訊保安的基本原則總體可分為三條：可用性、整合性和保密性。可用性是指資訊必須能夠及時向那些需要的人提供;整合性意味著資訊必須完整;而保密性則是通過授權訪問來加強資訊的安全。

【it專家網獨家】如今的商業資訊所處的生態鏈十分複雜，其中的環節包括技術、合規要求、標準、商業流程、廠商、安全威脅、市場壓力等。這些資訊在網路、多應用、資料庫、伺服器中縱橫流動。

對企業it來說，如何制定並實施企業安全計畫(esp)是一件至關重要的任務，專家建議可以分成以下9個細節步驟來完成。

1：建立資訊保安團隊

一般而言，企業需要建立兩支團隊：管理團隊和跨職能安全團隊。管理團隊通常由高層管理人員組成，負責制定esp目標、安全策略總綱、獲取預算，並建立跨職能安全團隊。

而跨職能安全團隊則負責日常的it安全運作，包括管理it資產、評估威脅與攻擊、管理風險、建立策略、建立流程和控制，執行內部審計，並提供培訓。

2：管理資訊資產

管理資訊資產是從執行現有it資產調查開始入手。調查範圍包括硬體、應用(內部或第三方)、資料庫和其它資訊資產(比如網路共享資料夾、ftp站點等)。調查完成後，每種資產必須指明所有人或管理人，然後根據不同的風險等級、商業價值等級，或受到安全威脅後公司需要付出的成本進行分類。

3：評估威脅、弱點和風險

威脅是指會對資訊資產構成風險的源頭，列出所有的潛在威脅，基於它們的重要性進行分類評級。弱點是指可能造成安全洩露的薄弱環節，範圍包括人員、流程和技術。而風險是指可能對企業造成不可預見的負面影響的事件，比如員工在email中開啟不知明的附件，中了病毒或惡意程式等。

4：管理風險

風險管理應當圍繞避免、減弱或轉移展開。在判定出風險等級後，就可以通過不同的方式加以處理。比如可以通過使用lotus notes替代outlook、安裝最新的防毒軟體、培訓員工加強風險意識，不要開啟未知附件，或將email服務外包給第三方來轉移風險。

5：建立事件管理和容災恢復計畫

事件管理定義比較廣泛，包括防止安全洩露、控制it資產流失、保護關鍵資料的誤刪除，或對資料中心可能發生的供電中斷做出準備等。妥善的事件管理計畫應當能對所有可預見的問題做出快速響應。而根據自然力量所造成的不可預見事件所做出的響應計畫則被稱為容災恢復計畫。

6：管理第三方

在資訊生態鏈上，複雜性與風險性還會來自於第三方，比如服務提供商、軟體廠商或任何中間媒介。第三方網路或實踐上的不安全性隨時會對企業造成不同程度的安全漏洞。

列出所有你所使用的第三方公司，根據資訊的延伸、分享程度，以及重要性劃分等級。審核第三方是否擁有安全測量實踐，並在必要時進行控制干預。

7：實施安全控制

安全控制一般分為兩類：技術控制保護電腦硬體、軟體或固體(比如訪問控制機制、識別和授權機制、加密方式、入侵偵測軟體等);非技術控制管理並執行如安全策略、操作流程、人員、物理和環境安全。

另一種常見的控制分類方法是分為預防型控制和偵測型控制。預防性控制是通過安全策略來抑制威脅攻擊，而偵測型控制則是屬於被動式，通過提示來向操作或管理人員表明正在發生的攻擊意圖。

8：培訓

培訓往往是企業最容易忽略，也不願去做出投入的乙個部分。其實，哪怕技術保護和安全測量手段再先進，如果員工的安全意識薄弱，也難以充分發揮應有的作用。而培訓員工提高安全意識，才是加強esp的關鍵。

9：審計

通過定期的內部審計來確保策略和流程的有效，控制的正確實施，合規要求完全符合，風險等級在可管理範圍內，並定時更新各種安全和培訓計畫。

有些大型企業也會使用外部審計，好處是第三方能夠提供客觀、中立的安全評估和建議。

小結如今的資訊保安不再是it乙個部門的事。隨著資訊生態鏈的複雜化，資訊對企業重要性的提高，以及安全威脅的增多，保護資訊保安已成為整個企業的共同責任。而制定乙份可行、有效的esp計畫，能幫助企業多增加一層防護罩。