四、企业信息安全最佳实践
企业在信息安全建设和运行过程中,需要参考相关标准和行业安全实践,采用成熟的安全技术和方法,建立符合企业战略的安全体系。
信息资产分类和分级
由于不同信息资产对企业的价值不同,因此并不是所有的信息资产都需要进行相同的保护,需要按照信息资产的价值和安全需求特点实施恰当的保护。信息资产保护的等级需要依靠反映资产价值和安全需求的信息资产分类。资产的敏感性和重要性越高,其对安全的需求也就越高。
选择遵循的安全标准
企业可以实施和维护有效的信息安全管理体系,建立风险管理流程,结合物理、技术以及操作方面的安全控制。
成熟的安全标准可以为企业提供适应性的安全框架和最佳实践指南。例如ISO 17799——《信息安全管理实践准则》(原BS 7799-2)和ISO 27001——《信息安全管理体系规范》(原BS 7799-2)就可以作为企业建设信息安全管理体系提供了框架指南,并提供了广泛性的信息安全控制措施及最佳实践。
我国政府组织以及包括国家关键基础设施的企业单位,需要遵守计算机安全等级保护要求。等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督,根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护。
从业务系统规划阶段开始
对新的业务应用系统,从规划阶段就应该充分考虑安全方面的需求,并且在系统的设计、开发和运行维护集成考虑安全。
在软件工程领域内普遍接受的一个原则是:在开发过程中,尽早修改软件漏洞所消耗的成本更加低廉。因此,在应用生命周期的早期阶段将精力集中于防护与减少安全风险是非常重要的,能够及早发现安全问题,提高软件质量、可靠性以及灵活性。
安全意识教育和培训
安全意识对企业安全至关重要。安全的信息流中最薄弱的环节就是人的环节。
用户是任何网络安全系统的基础,因此需要对包括管理层在内的所有用户进行适当的培训,确保对安全需求和管理过程有正确的认识。
用户意识到系统安全的威胁和利害关系,并具有在日常工作过程中支持组织安全策略的能力,应对用户进行安全意识教育和安全操作流程的培训,以提高人员安全意识,提高人员技能水平,尽量降低可能的安全风险。
管理层支持和决策
越来越多的企业发现内部信息安全威胁和来自竞争对手的压力,媒体和法律开始认识到保护需求,管理层也会遭受安全方面的压力。毫无疑问,对于业务安全和经济损失,CEO和高管层责无旁贷。
企业的信息资产安全是企业业务持续运营的关键。企业管理层对业务负有最终的责任,因此对信息安全也负有最终责任。
管理层需要提高对信息安全的认知和管理决策水平,平衡安全需求和安全投资,通过合理的安全决策和规划建设,保障企业安全建设符合法律要求以及业务发展的需求。
网友评论