企業(yè)所有包含企業(yè)信息的設(shè)備都是信息安全部門需要保護(hù)的對象���。除了最常用的辦公工具電腦外����,復(fù)印件���、打印機(jī)等具有輸出信息功能的設(shè)備都是IT資產(chǎn)保護(hù)的一部分�。此外,再把信息安全管控的因素加進(jìn)去��,把設(shè)備的類型�����、資產(chǎn)類型進(jìn)行分類��、標(biāo)識�����、資產(chǎn)發(fā)放�、合理授權(quán)���,這樣便于企業(yè)對其信息資產(chǎn)進(jìn)行控制�����。
第一步內(nèi)容是保證人力的安全�������!叭恕痹谀撤N程度上講也算是信息的資產(chǎn)的“攜帶者”�����。每一個(gè)信息化環(huán)節(jié)上的人員都有特定的角色扮演�。而每一個(gè)角色擔(dān)當(dāng)需要經(jīng)過嚴(yán)格的聘用條件,選拔���,以及雇傭保密協(xié)議的限制��,這是從企業(yè)信息化在人員安全角度必須考慮的問題����。
第二步是信息化系統(tǒng)的物理安全����,需要對物理邊界進(jìn)行把控。例如企業(yè)日常辦公中的門禁系統(tǒng)���,門禁權(quán)限分配與管理����、權(quán)限申請與把控。
第三步是對通信等網(wǎng)絡(luò)設(shè)備的安全管控��。從廣義上的服務(wù)器����,到狹義上的信息化安全產(chǎn)品的實(shí)施和規(guī)劃、驗(yàn)收��、網(wǎng)絡(luò)的黑客攻防����,網(wǎng)絡(luò)的安全管理,磁盤的備份都是需要做管控����。一般企業(yè)的IT也是最關(guān)心這類的安全內(nèi)容。
第四步是訪問控制��,企業(yè)對信息系統(tǒng)的體系和環(huán)節(jié)都需要訪問控制和人員把關(guān)���,其中包括各種軟件的賬號管理、網(wǎng)絡(luò)設(shè)備登陸登出管理����、權(quán)限變更、人員訪問和等級劃分。
第五步分是信息系統(tǒng)的獲取和開發(fā)�����。信息系統(tǒng)的開發(fā)一般包括ERP��、CRM等各種軟件系統(tǒng)的開發(fā)和實(shí)施�����。在開發(fā)和實(shí)施過程中需要符合一點(diǎn)標(biāo)準(zhǔn)����。如果企業(yè)自己開發(fā)的系統(tǒng)輸入和輸出有偏差,企業(yè)的CEO或者CIO可能會收到法律的制裁���。特此外���、除了企業(yè)自己開發(fā)外,企業(yè)購買供應(yīng)商軟件產(chǎn)品時(shí)���,也要要求供應(yīng)商提供相應(yīng)的資質(zhì)證明��。企業(yè)一旦發(fā)生信息安全事故��,信息安全事故的處理機(jī)制就顯得尤為重要��。比如發(fā)現(xiàn)問題����、匯總問題、問題分析��、事故處理���、問題回顧����、再次檢測�、事故報(bào)道撰寫、證據(jù)收集��、案例調(diào)整等�����,都需要對信息安全進(jìn)行事故管理�����。
擴(kuò)展閱讀:OA辦公系統(tǒng)_協(xié)同辦公系統(tǒng)���;免費(fèi)辦公自動化系統(tǒng)專題�����;在線辦公自動化系統(tǒng)專題����;.. 第一步內(nèi)容是保證人力的安全����。“人”在某種程度上講也算是信息的資產(chǎn)的“攜帶者”���。每一個(gè)信息化環(huán)節(jié)上的人員都有特定的角色扮演��。而每一個(gè)角色擔(dān)當(dāng)需要經(jīng)過嚴(yán)格的聘用條件��,選拔��,以及雇傭保密協(xié)議的限制�����,這是從企業(yè)信息化在人員安全角度必須考慮的問題���。 &nbs..
|
