欢迎来到天天文库
浏览记录
ID:35436966
大小:57.63 KB
页数:5页
时间:2019-03-24
《聚焦it服务外包的信息安全管控》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、信息安全风险的威胁。从表面上看,采用IT外包策略不但可以节约成木,还能提高效率。但事实上,许多企业对IT外包都有许多道不尽的爱恨情仇。外包是一柄双刃剑,其好处是可以向企业灌输技术与人才,帮助企业摆脱繁琐的IT业务一一有效的外包能让公司更好的专注于核心业务。但是进行IT外包并不是一件轻松的事情,如果处理不好,不仅不会带來预期的效益,反而会变成一场噩梦和致命的灾难。所以对于企业IT主管部门而言,必须具有很强的经验和管理技能,才能谈“外包”二字。IT外包服务要成为一种商品,就必须形成一套规范和标准,以约束买卖双方。但冃前国内IT外包服务领域既无统一规范也无公认标准。概念
2、模糊的用户,面对同样概念模糊的IT厂商,如何评估、签合同、质量控制和定价等都是潜在的“风险”o此外,IT外包还面临着IT管理的复杂性、软件缺失、知识产权以及IT外包服务提供商自身能否健康成长等风险。因此企业需要在风险、成本与效果、效率Z间找到平衡点。同吋,由于委托方和代理方之间可能存在信息不对称和信息扭曲等问题,加Z市场及宏观环境的不确定性,导致委托方在实施外包过程中承担着种种风险。外包服务关键词:信息安全企业在IT服务外包过程中面临的最大挑战,就是如何确保企业信息和数据的安全,如何建立起有效的信息安全管控框架,以符合企业信息安全要求。首先,确认企业内部信息安全管
3、控过程是否可持续监管和优化。在信息防泄漏的“战争”中,相比于躲在暗处的泄密者和安全威胁,站在明处的企业显然略失先机。但如果企业能够做到预先防御,在对手出招Z前采取针对性的保护措施,就能从根本上“转被动为主动”,做好内部数据安全防护。因此,良好的信息防泄体系的前提就是要吋刻掌握企业动态,做到要有的放矢。很重要的一点是要实现内部操作的“可视化”,以随吋监测整个信息系统的安全状况,做到迅速反应,甚至还能预测到潜在的风险,化被动防御为积极防御。其次,企业信息安全体系设计需进行全局评估和建设,规避疏漏和风险。安全领域中的木桶理论和马其顿防线的故事和信大家都了解一一无论怎么豪
4、华的防线,一个漏洞就可以毁灭所有一切。在企业中,有吋候可能是一个小小的系统漏洞就可能毁灭了儿百万投资的努力,或者一个无意的非法补丁行为就让企业蒙受损失。因此,在解决安全问题之吋,不能仅仅依赖透明加密等技术手段,“头痛医头,脚痛医脚”地堆砌不同安全产品及封堵安全漏洞,而是需要站在…个更高的战略角度來通盘考虑。如果缺乏整体的分析视角,企业可能会忽视或者低估某个安全攻击的真正威胁,采取的安全措施也可能无法解决真止的问题。所以,在实际的防泄漏建设屮,必须从整体上来评估企业的信息安全状况,运用统一平台来进行风险和安全管理,检测出内部问题,从而描绘出整个企业当前安全情况的更清
5、晰和更准确的图景,采取针对性的防护措施,最大限度降低企业的安全风险。另外,要有安全和防护等级措施。企业在构建立体化、全方位的整体信息防泄体系吋并不是一刀切,不分轻重地在全公司范围内采取相同的策略,这样虽然看似达到了最为安全的效果,但对业务造成的巨大影响,以及因此产生的高额成木,对企业來说,都是巨大的负担。对信息安全來说,威胁和风险往往和高价值的信息资产联系在…起,安全保护工作也就应该轻重有别,将重点放在高价值的信息资产±o在安全建设过程中,对涉密程度高的部门或岗位进行力度大的防御,对涉密程度低的部门采取相应的安全防御。同时衡量提升安全性可能带来的业务操作上的麻烦、
6、企业安全成本等问题,是企业必须要做的事情。在企业实施安全防护等级风险评估过程中,往往需要结合企业的实际情况,对三种技术手段整合运用:首先,在全公司范围内进行安全审计,掌握企业操作,发现安全隐患;其次,对特殊岗位和部门,进行严格管控,限制信息的带出;最后,在核心部门内部,对机密信息进行透明加密。这样既可保证公司的正常业务运作,乂能有的放矢地实现最优化的信息防泄漏管理,还大大节约了投资成本。此外,利用科学可行的安全策略和必要的技术手段实现动态性防护。动态性的信息泄露防护,对于冃前泄密方式日益增多的企业来说,非常重要。某些企业往往在安全事件发生Z后才对现在的策略进行被动
7、的调整。这种“吃一堑、长一智”的防护模式,对于企业而言,有可能是致命的。一旦出了安全事故,恐怕亡羊补牢,为吋已晚。企业需要建立-•个动态性的安全防护,前瞻性地发现安全威胁,并通过对技术或管理上的策略进行及吋调整更新,防范潜在的安全风险。最后要强调的是,信息安全体系必须便于使用和维护。如今,市场上五花八门的信息防泄漏产品让企业眼花缭乱,企业期望这种“强强组合”能给企业套上万无一失的金钟罩。殊不知这种做法往往意味着企业必须付出较高的成木,并增加了技术的复杂性,还容易导致产品软件冲突等问题,企业虽然“装”了安全产品,但根本“用”不了。目前,能够提供整体解决方案的单一安全
8、产品可谓不
此文档下载收益归作者所有