三、企业信息安全之道
为了保证安全目标和安全需求的实现,企业需要进行安全规划和建设。企业信息安全建设的总体思路是:以业务资产为核心,以安全战略为指导,根据安全需求来建立安全能力发展计划和整体的安全框架,逐步建立安全基础设施,为业务提供安全能力支持。
企业信息资产管理
业务信息资产是企业信息安全保护的核心目标,因此要进行信息安全建设,首先明确安全保护的对象。企业需要通过分析业务流程,识别关键的业务资产,确定业务资产的安全所有人和认责人,明确安全保护责任。
在以业务为核心的企业内部,信息资产包括业务应用软件、硬件、网络、相关的数据和信息,还包括相关的关键业务流程和人员。建立企业信息资产目录并进行维护,可以帮助企业实施有效的信息资产安全保护,业务连续性和灾难恢复。在信息资产目录中应该定义资产的安全等级和安全责任人。
安全风险评估
安全风险评估是实现企业安全的重要环节。安全需求必须基于风险评估,并且应该在设计阶段开始前确定。通过风险评估,可以识别关键业务资产的安全威胁和风险,了解企业的安全现状和风险水平,分析安全需求和安全改进方向。
风险不只是技术概念,更多地是一个业务概念。企业需要根据风险评估的结果,结合业务需求来分析安全需求。安全需求必须覆盖风险评估中识别的各种安全风险,并且与业务的其它需求进行协调和集成考虑。安全需求中不仅包括软件功能方面的安全需求,还应包括物理安全、管理流程、系统管理等非软件方面的需求。
风险评估的目的在于定义核心信息资产,并且分析应用环境中可能存在的风险。安全风险评估是定义应用安全需求、选择相应对策以及设计安全系统的基础。根据应用以及关键数据的重要程度,确定所需要采用的安全机制。
通过安全风险评估明确存在风险的关键的业务资产和业务流程,识别其安全需求和安全现状。安全风险的可接受水平以及安全需求的确认需要业务人员和管理层来确认,应该将实施控制措施的支出与安全故障可能造成的业务损失进行权衡考虑,对安全建设的方向和目标进行决策。
建立信息安全战略
通过风险评估了解了企业的安全现状和风险水平,企业明确了各个层次的安全需求和改进方向,企业需要制定与业务战略和IT战略一致的安全战略,明确企业的安全建设目标和安全建设原则。
安全战略是企业在一定时期内的一整套安全决策,这一决策决定了企业的安全策略和制度、流程、行为和技术的建设。
制定企业安全战略的目标是支持企业战略,保证平衡的安全风险管理,保证谨慎而有效的安全投资,使安全能够与业务发展和IT能力建设同步,并且努力促使安全成为业务发展的有力驱动。
信息安全建设规划
为了实现企业安全战略,企业应该根据安全风险水平和安全需求,分解安全建设目标,制订安全项目建设计划。
安全越来越成为业务战略的重要组成部分,每个企业都面临着不同的挑战。企业需要建立适应性的安全解决方案,即能够满足不断扩展的业务需求,又能够适应不断变化的技术需求。
企业安全规划和实现并不单纯是技术问题,需要符合业务目标,依靠管理支持,并考虑安全投资预算,并建立适当的安全策略。
企业安全建设是选择解决方案而不是产品,因此需要规划整体的安全技术架构、管理组织和流程体系构成的安全能力框架,并定义各种安全能力的建设计划。企业需要将信息的保护看作整个安全机制的一部分,建立整体信息安全框架,结合了主动管理、监控、员工安全意识、管理层支持等。
安全建设需要关注技术发展趋势,应用成熟的技术和产品,充分利用已有的安全基础设施。
一般企业需要建立三到五年的安全能力发展计划,规划原则是:
安全策略先行:首先建立安全策略、标准和各种管理制度、流程,并进行有效的宣传和贯彻。
逐步建立和完善安全组织: 一般企业需要首先建立安全组织架构,明确并落实相关的安全责任。在初期阶段可以在现有的业务和IT岗位上落实安全责任,然后根据安全管理和维护的工作量,来逐步增加工作岗位。
根据风险评估结果确定的安全风险优先级,结合安全需求和投资预算,确定安全项目建设的优先级,一般先从投资小、见效大、易实施的项目(例如安全加固、补丁管理)开始,然后是较为复杂的、实施周期长的中长期安全建设项目的规划。
网友评论