返回
企业实施信息安全保障

企业实施信息安全保障

ID:22495191

大小:55.50 KB

页数:7页

时间:2018-10-29

企业实施信息安全保障_第1页
企业实施信息安全保障_第2页
企业实施信息安全保障_第3页
企业实施信息安全保障_第4页
企业实施信息安全保障_第5页
资源描述:

《企业实施信息安全保障》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、企业实施信息安全保障现代企业的生存与发展高度依赖X络信息系统支持,确保X络的通畅、信息系统安全可靠就显得尤其重要。本文从信息安全综合治理战略理念出发,结合当前企业IT运维管理现状和安全风险防范的新思路、新方法,从组织体系、制度体系和技术体系三个层面论述建立和实施信息系统安全运行治理防控保障体系,实现信息系统可持续改进运行。1综合治理信息安全的战略背景IT管理技术发展历程,从被动管理转向主动管理,从服务导向转向业务价值。在科学的IT管理方法论方面形成了一系列标准:诸如ITIL/ITSM以流程为中心的IT管理

2、行业标准;ISO20000ITIL的国际标准;COBIT面向IT审计的IT管理标准;COSO企业内部控制框架,面向内部控制;ISO17799:信息安全管理国际标准。当前有很多非常好的综合性标准与规范可以参考,其中非常有名的就是ISO/IEC27000系列标准。ISO/IEC27001通过PDCA过程,指导企业如何建立可持续改进的体系。目前企业IT运维管理现状。需求变化:IT本身快速变更;管理目标多角度变换并存。资源不足:IT复杂性成长快于人员成长;IT人员持续流动。业务影响:难以判断事件对业务的影响和处理

3、事件的优先级。信息孤岛:IT资源多样性的,不能进行事件的关联分析,缺少统一的健康视图。ITX络与信息系统运维存在监测盲点,缺少主动预警和事件分析机制。如何把此项复杂的工程进行细化与落地,建立信息安全保障框架?在企业有限的IT资源(包括人员、系统等)等的前提下,IT运营面临严峻的挑战,企业多半缺乏信息系统应用开发能力,在很大程度上依赖于产品开发商的支持,为此,要想实现从混乱到清晰、从被动到主动、从应付到实现价值取向的服务思想,自主加外包的混合运维方式无疑是一种好的服务方式。2建立和实施信息安全保障体系思路和

4、方法针对IT管理问题和价值取向的服务方式,借鉴PDCA工作循环原理和标准化体系建设方法,从建立安全目标和组织体系、制度体系和技术体系等三个主要层面构建实施信息安全保障体系,以规范引导人、以标准流程引导人,以业绩激励人,从而促被动变主动,坚持持续改善,促进工作效率,促进安全保障。2.1建立和推行目标管理体系建设应以目标管理为先导、循序渐进,按顶层布局、中层发力、底层推动内容设计与构建,为此,借鉴当前IT运维管理目标演进方式,确立各阶段建设目标。基础架构建设阶段(SMB),手工维护阶段。主要实现IT基础架构建

5、设。X络和系统监控(NSM)阶段,重视自动化监控阶段。主要实现IT设备维护和管理。IT服务管理(ITSM)阶段,重视流程管理阶段。主要实现IT服务流程管理。业务服务管理(BSM)阶段,重视用户服务质量与满意度。主要实现IT与业务融合管理。从IT投入和业务价值来看,前三个阶段是间接业务价值,第四阶段才是直接业务价值。根据ITIL这个IT服务管理的方法论,先是搭建一个框架,借用工具的配合促进落地。如图1、IT运维管理系统参考模型。从安全目标出发,结合IT运维管理系统参考模型,每个阶段的工作向着实现直接业务价值

6、,不断消除或减轻对性能的约束,促进IT产品或服务满足确定的规范,实现企业效益最大化。服务好用属性通过最终的绩效和检验结果监视测量价值成分。如图2。2.2规划融合信息安全保障体系通过从组织体系、制度体系、技术体系层面建立和实施纵深防御体系,实现稳健的信息安全保障状态。①组织体系:通过企业中高层的支持实现业务驱动和共同推动信息安全体系建设。当然,需要提出的问题,组织有可能要依赖长期可靠的合作伙伴:通过长期可靠的合作关系,快速引进外部专业资源和先进技术,可以帮助企业推动信息安全建设工作。为了帮助组织内外信息系统

7、人员更好地遵守行业规范及法律要求,企业实施ITX络与信息系统安全运维体系标准,组织应做到定期对全体员工进行信息安全相关教育,包括:技能、职责和意识,通过相关审核,证明组织具备实施体系的意识和能力。②制度体系:企业ITX络与信息系统安全运维系统建设的范围包括机房安全、数据安全、X络安全、服务器安全、业务应用安全、终端安全等。为此,企业应明确内部运维和外部协同的内容及其标准规范,包括绩效标准。建立实施ITX络与信息系统安全运维体系标准,首先把高效的信息安全做法固化下来形成规则制度或标准,成为组织中信息安全行为

8、准则。保证事前预防、事中监控和事后审计等安全措施的得到有效执行与落实。③技术体系:一般来说,X络设备技术体系可以按照从上到下信息所流经的设备来部署工具。即从数据安全、终端安全、应用安全、操作系统与数据库安全、X络安全、物理安全六个方面来选择不同的安全工具。按照“适度防御”原则,综合采用各种安全工具进行组合,形成企业“适用的”安全技术防线。适时根据风险评估的结果,采取相应措施,降低风险。其中,需要采用1~2种综合管理的工具来帮助

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。