返回
十步骤制定企业安全计划.docx

十步骤制定企业安全计划.docx

ID:59625503

大小:14.13 KB

页数:7页

时间:2020-11-16

十步骤制定企业安全计划.docx_第1页
十步骤制定企业安全计划.docx_第2页
十步骤制定企业安全计划.docx_第3页
十步骤制定企业安全计划.docx_第4页
十步骤制定企业安全计划.docx_第5页
资源描述:

《十步骤制定企业安全计划.docx》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、制定年度企业经营计划的步骤十步骤制定企业安全计划  网络和IT应用在企业内不断得到深化,所带来的结果就是,信息安全成为企业重要的无形资产。如何保护好信息,不但要在技术、规范上,还要在管理流程等多方面加以全面考虑。不管一个企业规模如何、业务类型如何,很难说没有发生过信息安全事件。在一些疏于防范的企业,计算机病毒爆发、利用系统漏洞非法入侵等信息安全事件更是时有发生。  究其原因,要归咎于现在的技术、法规、业务流程、安全威胁及其他众多因素相比于过去,复杂性大大增加,并且相互交织在一起,这大大增加了各类

2、企业在信息安全方面所面临的风险。  而企业内部信息存在于这样一个复杂的生态系统中,还要满足信息安全方面的三个原则:可用性、完整性和机密性,其自身所面临的压力自然也就不言而喻。可用性意味着需要信息的人能够及时获取信息;完整性意味着信息完整,没有遭到破坏;机密性意味着信息得到了保护,未授权者无法访问。  本文根据上述的三个原则,提供了制定企业安全计划的一些方法和指导原则。第一步:  成立信息安全团队。  管理学专家吉姆•柯林斯在《从优秀到卓越》一书中,明确表明,在启动任何公司项目之前就应该让相应人员

3、参与进来,企业安全计划项目也不例外。  在企业内部要成立两支团队,即经理人团队和跨职能部门的信息安全团队。经理人团队负责确定企业安全计划的使命、宏观目标和具体目标,这个团队的成员应该包括企业的高层主管。此外,这支团队还应该负责制定重要的安全政策、设定组织风险阈值、获得企业安全计划所需的资金,并且成立跨职能部门的安全团队。  跨职能部门的安全团队则最好由更小的团队组成,负责日常的IT安全工作,包括管理IT资产、评估威胁与漏洞、管理风险、制定策略、制定规程和控制手段、进行内部审计以及提供培训服务。第

4、二步:  理清信息资产。  管理信息资产首先要从清点资产开始入手,这个步骤应当记下硬件、应用程序、数据库及其他信息资产。一旦完成了清点资产的工作,再为每项资产明确一个所有人及监护人。所有人的职责是充当被分配资产的联系人,而监护人要负责保护已存储的信息。  然后,根据信息资产里面所含信息对公司具有的价值、以及一旦该资产受到危及,公司可能遭受的成本损失进行分析,根据结果把这些信息资产划分成不同的重要等级。第三步:  明确法规要求及行业标准。  法规就是命令,就是确保信息安全的强制性法律要求。例如医疗

5、服务提供商及金融服务行业的大多数公司就都会遵守某些指导准则。支付卡行业数据安全标准和ISO27001等标准已经成为行业内的最佳实践。  经理人团队要确定必须遵守哪些法规和标准以保证信息安全。第四步:  评估威胁、漏洞和风险。  威胁是给信息资源带来危险的。列出所有相关威胁、对它们进行分类,并根据重要性进行评定,这是一项重要工作。  漏洞是系统当中的薄弱环节或缺陷,有人可能无意或有意利用这些漏洞,从而引发安全泄密事件。漏洞多存在于人员、流程和技术当中。建议列出可能存在的种种漏洞,然后根据它们对组织

6、的影响来进行评定。  风险是指可能会给组织带来不利结果的潜在事件或状况。在一般情况下,风险由威胁和漏洞共同引发。例如微软Outlook中的技术漏洞以及打开未知附件导致的漏洞,就有可能被Mydoom病毒加以利用,最终导致网络带宽损失。第五步:  有效管理风险。  风险管理侧重于避免、缓解或转移风险。风险管理首先需要列出各种风险,根据发生的可能性以及对组织的影响大小对各种风险进行分类。通过可能性和影响共同来划分这些风险的优先级。对一家组织来说,影响大、发生可能性大的风险就是“高优先级对待的风险”。 

7、 一旦划分了风险的优先级,就可以确定采用何种方式来应对风险。比方说,可以使用LotusNotes替代Outlook来避免Mydoom病毒攻击的风险;可以安装最新的反病毒软件、教育用户不要打开可疑附件来缓解风险;也可以与第三方厂商签订合同,让对方满足自己在电子邮件方面的所有要求来转移风险。第六步:  制定事件管理与灾难恢复方案。  安全泄密事件、无意中丢失IT资产、不小心删除了关键数据、数据中心出现停电事故,这些事件在现实生活中并不少见。良好的事件响应方案可以清晰地列出针对最常见事件的应对策略。事

8、实证明,“9•11”事件和“卡特里娜”飓风之后,没有制订灾难恢复方案的公司都无法在短期内重新恢复业务。第七步:  管理第三方组织。  厂商、供应商和中间商,这些第三方组织在复杂的信息生态系统中占据了重要的位置。如果与企业有联系的第三方组织存在不安全的网络漏洞或不规范的行为规范,那很有可能会带来安全漏洞,给不法分子以可趁之机,威胁企业的信息安全。  因此企业用户要列出与自己有业务往来的所有第三方组织,然后根据信息重叠或共享的程度以及信息所具有的重要性,划分这些第三方组织的优先级。然后,继续弄清楚第

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。