建立企業(yè)的信息安全的流程

2016-06-20 01:43:14 來源:互聯(lián)網(wǎng)作者:souphp3l 人氣: 次閱讀 209 條評論

一個企業(yè)如果需要建立信息安全體系架構(gòu),一般的流程如下:1、分析企業(yè)的信息安全目標(biāo),即企業(yè)在未來的3-5年的安全目標(biāo)是什么?在信息安全方面達(dá)到什么樣的程度?2、有了安全目標(biāo)之后,下一步我們要做的...

  一個企業(yè)如果需要建立信息安全體系架構(gòu),一般的流程如下:

  1、分析企業(yè)的信息安全目標(biāo),即企業(yè)在未來的3-5年的安全目標(biāo)是什么?在信息安全方面達(dá)到什么樣的程度?<br />

  2、有了安全目標(biāo)之后,下一步我們要做的就是分析企業(yè)目前的安全現(xiàn)狀,此階段一般通過風(fēng)險評估等方式來實(shí)現(xiàn),可選的方式有風(fēng)險評估、安全審計、滲透測試等。<br />

  3、分析了安全現(xiàn)狀,我們接下來要做的就是分析安全目標(biāo)和安全現(xiàn)狀之間的差距,目標(biāo)有了,現(xiàn)狀也清楚了,差距自然而然也就出來了。差距分析階段主要是分析企業(yè)目前的安全現(xiàn)狀和目標(biāo)之間還存在哪些薄弱點(diǎn),并一一列舉出來,差距分析主要從組織安全、人員安全、訪問控制、物理安全、安全事件、業(yè)務(wù)連續(xù)性等方面來展開。<br />

  4、在我們得到差距之后,我們就要為企業(yè)設(shè)計安全體系架構(gòu)了,一套完整的信息安全體系架構(gòu),應(yīng)包括技術(shù)體系架構(gòu)和管理體系架構(gòu),技術(shù)體系架構(gòu)主要是指從網(wǎng)絡(luò)、系統(tǒng)層面來設(shè)計,譬如分析企業(yè)目前的網(wǎng)絡(luò)架構(gòu)是否合理?產(chǎn)品的部署是否到位?而管理體系架構(gòu)主要是指信息安全的制度建設(shè),俗話說&ldquo;無規(guī)矩不成方圓&rdquo;,安全問題歸根結(jié)底就是管理的問題,很多安全事件的發(fā)生都是因?yàn)楣芾聿坏轿欢a(chǎn)生的。譬如弱口令,如果企業(yè)的安全制度里有明確的要求,密碼為6位,并應(yīng)包括數(shù)字、字母、特殊字符等,這樣完全是可以避免弱口令的現(xiàn)象,再譬如補(bǔ)丁更新不及時、ACL 做的不夠等等諸如此類的問題,很大程度都是因?yàn)楣芾聿坏轿弧T谖覀兊脑u估項目中,我們發(fā)現(xiàn)很多時候并不是技術(shù)上不可達(dá),而是管理意識不到位。這里出現(xiàn)的比較多的是企業(yè)的高層領(lǐng)導(dǎo)的安全意識薄弱,對安全這一塊基本沒什么概念,對于管理員或安全部門提出的安全建議認(rèn)為沒有必要等等。很多安全的措施在很多企業(yè)都會出現(xiàn)實(shí)施難的問題,因?yàn)榘踩胧┰诤艽蟪潭壬蠒o員工造成不便,員工都會出現(xiàn)抵觸的情緒,在這種情況下,就需要公司的高層通過管理制度來推行安全措施,所以又歸結(jié)到管理的問題上來。<br />

  對于企業(yè)來說,如上的這些現(xiàn)象一般出現(xiàn)在中小型企業(yè),這些企業(yè)的資金比較缺乏,在公司沒有出現(xiàn)大的安全事件的時候,公司高層一般是不考慮在安全方面加大投資的,而在大型企業(yè),隨著規(guī)模的不斷壯大,網(wǎng)絡(luò)已經(jīng)成為這些企業(yè)不可缺少的部分,如果一旦出現(xiàn)安全事件,將會給企業(yè)造成嚴(yán)重的損失,如客戶資料丟失、財務(wù)數(shù)據(jù)泄密、企業(yè)形象受損等等,而大型企業(yè)的資金也比較雄厚,在安全方面的投資也就相對較多了。<br />

  另外我們在設(shè)計信息安全體系架構(gòu)時,應(yīng)充分結(jié)合企業(yè)目前的安全現(xiàn)狀和相關(guān)法律法規(guī)的要求,并應(yīng)考慮企業(yè)的運(yùn)營成本等問題,最后需要考慮就是信息安全體系架構(gòu)設(shè)計的可執(zhí)行性了,不能出現(xiàn)一套體系出來之后,發(fā)現(xiàn)根本沒有聯(lián)系企業(yè)目前的安全現(xiàn)狀,方案的可執(zhí)行性太差等問題。( 素材 )<br />

  5、在我們建立了信息安全體系架構(gòu)之后,最后的階段就是實(shí)施了。在實(shí)施中,還是需要企業(yè)高層的大力支持,才能順利進(jìn)行,因?yàn)樾畔踩w系架構(gòu)的實(shí)施和運(yùn)行,比如會跨越不同的部門,在部門與部門的協(xié)調(diào)上,就需要上層領(lǐng)導(dǎo)的協(xié)調(diào)了。<br />

  6、最后階段就是 Check,信息安全體系架構(gòu)應(yīng)遵循 PDCA 的模型。我們應(yīng)及時跟蹤分析信息安全體系的建設(shè)情況,查漏補(bǔ)缺,及時發(fā)現(xiàn)不足和存在的問題,在后期的運(yùn)行維護(hù)中及時修正。</p>

您可能感興趣的文章

相關(guān)文章