安全人員的任務可能非常艱巨:從諸多擔心�����、不確定因素和似是而非的問題中抽絲剝繭���,評估不同的風險狀態(tài)和這些風險在企業(yè)發(fā)生的可能性�����。然后再確定如何使用必要的技術使這些風險最小化����。
1、專注于數(shù)據(jù)
許多企業(yè)花費了太多時間用于工具�����,而對于數(shù)據(jù)的重視程度卻遠遠不夠�����。與數(shù)據(jù)相比����,技術相對簡單。更困難的問題是理解數(shù)據(jù)��,因為大樓�、LAN��、主機無法限制數(shù)據(jù)�����。
無論IT專業(yè)人員還是一般的業(yè)務專業(yè)人士都需要認識到企業(yè)需要部署控制和保護����,以跟蹤數(shù)據(jù)的流向和目的地。企業(yè)很容易在這方面犯錯誤。當今的企業(yè)需要保護信息的基礎架構�����。
但這僅僅是關于數(shù)據(jù)與技術的第一項措施��。多數(shù)公司往往并不清楚威脅�。許多企業(yè)發(fā)現(xiàn),要證明“把錢花在不一定發(fā)生的潛在威脅上是合適的”非常困難����。情況往往是只有在發(fā)生了危害后,企業(yè)才開始重新評估其安全策略����。
2、風險的概念
從何處開始呢���?要描繪企業(yè)信息風險的概況��,安全管理者應從確認所有的關鍵業(yè)務過程及其工作方式開始�。誰都無法保護并不了解的資產(chǎn)�。安全管理者應調(diào)查企業(yè)的邏輯和物理資產(chǎn),無論是數(shù)據(jù)��、技術、人員還是過程�,都必須包括在內(nèi)。
安全管理員應與擁有這些過程涉及的人員交流�,發(fā)現(xiàn)他們的風險要求和感受水平。例如���,風險在何種情況下會產(chǎn)生危害����?企業(yè)的敏感點(痛點)在哪里��?是效率還是可用性����?亦或是資產(chǎn)自身?這些痛點在不同的企業(yè)之間是不同的��。
這個過程的一部分就是要理解企業(yè)所面臨的不同風險狀況��。在這些狀況中�����,哪些是真正可能發(fā)生的��?安全管理者應關注哪些��?如何應對這些狀況�����,在哪一點上開始對付這種狀況����?由此,安全管理者才可以部署控制�、功能、框架�、過程、方法��、人員進行應對�。
企業(yè)需要一種信息管理策略,以幫助企業(yè)更好地確定和實施安全策略和過程�����。我們不妨將信息管理策略定義為:為了管理在企業(yè)中存在和流動的信息��,企業(yè)將有益于公司的方法���、策略���、過程建立起來的一種集合�����。這種策略可以管理和監(jiān)視數(shù)據(jù)��。
信息管理與評估風險和決定適當?shù)陌踩酵瑯又匾?/P>
但管理信息遠遠不是通過技術保護信息那樣簡單��。在安全問題上的策略和知識管理必須利用教育�����、培訓等要素���。
3、不僅僅是技術
在確認了適當?shù)娘L險狀況和理解了風險要求后���,還要考慮到隨著時間的推移����,問題會發(fā)生變化�����。企業(yè)的風險要求需要重新調(diào)整�����。
安全管理員需要講求實效����,并更現(xiàn)實地認識這些風險。
在準備好策略����、過程、工具后�,評估其效能就要求企業(yè)具有安全實踐和過程的專業(yè)知識,并理解公司的內(nèi)部程序���。這種評估可通過內(nèi)部的專業(yè)人員或外部的審計人員實施����。
當然�����,問題是,企業(yè)要理解這些過程�����,從而保證其內(nèi)部安全策略的相關性和最新��。安全是一個不斷演變的問題��,它不可一蹴而就��,而是應當經(jīng)常評估和修訂���,以應對不斷變化的威脅�����。對于多數(shù)企業(yè)來說��,這有可能是最大的困難���。
擴展閱讀:OA辦公系統(tǒng)_協(xié)同辦公系統(tǒng);免費辦公自動化系統(tǒng)專題��;在線辦公自動化系統(tǒng)專題;..bsp; 1����、專注于數(shù)據(jù) 許多企業(yè)花費了太多時間用于工具�,而對于數(shù)據(jù)的重視程度卻遠遠不夠。與數(shù)..
|
