二、企业信息安全的目标和安全需求
根据国际信息安全管理标准ISO 17799的描述,信息安全的目标是“通过防止和减小安全事故的影响,保证业务连续性,使业务损失最小化”。
保护企业的信息资产对于业务持续以及法律遵循都是关键的。由于这些原因,信息被看作业务资产的一部分,需要有效的管理。因此,企业必须保护信息资产的机密性、完整性和可用性。
业务安全
信息安全的目标是保护企业的信息资产,防范业务风险,保证业务连续性。因此,业务安全是企业信息安全的终极目标。
企业需要把安全作为业务战略目标的一部分,安全不再只是一种投入,而是能够促进和保障业务产出的手段。因此,企业需要有效地实施信息安全控制,保护有价值的资产,支持和达成企业业务目标。
业务安全需求包括业务连续性、业务流程安全、法律安全要求、隐私保护要求等。
IT安全
IT系统实现业务功能,是企业业务信息化的关键。IT能力的发展的驱动因素是业务发展方向,同时也驱动了安全的建设。IT系统的安全持续运行是实现企业业务价值的保障。
IT安全需求就是从IT的角度明确安全保护需求以及IT系统对安全的支持情况,包括两个层面的内容:一是IT系统自身的安全需求,包括业务安全需求的功能实现以及网络安全、系统安全、应用安全、数据安全、业务连续性等层次的需求;另一个层面是安全系统对IT系统功能的要求,例如对IT基础设施、服务管理方面的要求。
安全建设既保证了IT基础设施和服务的安全,又属于IT建设的一部分。因此,安全建设需要与IT战略相一致,并且适应未来IT基础设施和技术的变化。
法律和策略要求
各种法律法规的需求不断变化、层出不穷,企业需要很大的精力去保持与法律法规的符合性。企业需要识别相关的法律法规中提出的,需要遵守的安全要求及其对业务和IT的影响。例如萨班斯法案对上市公司的内部控制、报告、披露和归档要求,法律对个人隐私数据保护的要求,国家政策和标准提出的信息系统等级保护要求等。
企业安全建设还应该符合企业的安全战略和相关的安全策略、标准的要求。
网友评论