如何建立有效的企業(yè)信息安全資產保護計劃并得到有效實施���,是每個企業(yè)管理層和信息安全決策者最關心的問題��。
一����、企業(yè)面臨的信息安全風險趨勢
企業(yè)越來越依靠信息資源���,安全事件不斷增長��,而安全事件造成的損失以及用于事件處理的財力���、人力以及IT資源的投入需要不斷增長。這就需要進行IT規(guī)劃和費用調整以保證適當?shù)陌踩度耄渴鹩行У墓ぞ�,來解決緊迫的安全問題。
1���、從信息安全到業(yè)務安全
業(yè)務安全需求不斷變化�����,相關技術不斷進步��。企業(yè)不斷擴展業(yè)務�,員工�、客戶以及合作伙伴越來越多地與企業(yè)網(wǎng)絡連接,進行移動辦公和開展在線業(yè)務���,這也就意味著對核心信息資產的威脅機會增加�����。信息安全已經(jīng)從單獨的保護計算機系統(tǒng)發(fā)展到保護業(yè)務安全����。網(wǎng)絡應用的攻擊可以導致業(yè)務中斷�,影響經(jīng)濟收入和客戶形象���。
二、企業(yè)信息安全的目標和安全需求
信息安全的目標是“通過防止和減小安全事故的影響�����,保證業(yè)務連續(xù)性����,使業(yè)務損失最小化”����。 保護企業(yè)的信息資產對于業(yè)務持續(xù)以及法律遵循都是關鍵的。由于這些原因�,信息被看作業(yè)務資產的一部分,需要有效的管理���。因此��,企業(yè)必須保護信息資產的機密性���、完整性和可用性。
1�、業(yè)務安全
信息安全的目標是保護企業(yè)的信息資產�����,防范業(yè)務風險�,保證業(yè)務連續(xù)性����。因此,業(yè)務安全是企業(yè)信息安全的終極目標��。 企業(yè)需要把安全作為業(yè)務戰(zhàn)略目標的一部分��,安全不再只是一種投入�����,而是能夠促進和保障業(yè)務產出的手段�����。因此����,企業(yè)需要有效地實施信息安全控制,保護有價值的資產�����,支持和達成企業(yè)業(yè)務目標。 業(yè)務安全需求包括業(yè)務連續(xù)性�����、業(yè)務流程安全�、法律安全要求、隱私保護要求等�����。
2��、IT安全
IT系統(tǒng)實現(xiàn)業(yè)務功能����,是企業(yè)業(yè)務信息化的關鍵���。IT能力的發(fā)展的驅動因素是業(yè)務發(fā)展方向�����,同時也驅動了安全的建設�。IT系統(tǒng)的安全持續(xù)運行是實現(xiàn)企業(yè)業(yè)務價值的保障。
IT安全需求就是從IT的角度明確安全保護需求以及IT系統(tǒng)對安全的支持情況���,包括兩個層面的內容:一是IT系統(tǒng)自身的安全需求����,包括業(yè)務安全需求的功能實現(xiàn)以及網(wǎng)絡安全����、系統(tǒng)安全、應用安全����、數(shù)據(jù)安全、業(yè)務連續(xù)性等層次的需求��;另一個層面是安全系統(tǒng)對IT系統(tǒng)功能的要求����,例如對IT基礎設施、服務管理方面的要求���。 安全建設既保證了IT基礎設施和服務的安全�����,又屬于IT建設的一部分����。因此,安全建設需要與IT戰(zhàn)略相一致����,并且適應未來IT基礎設施和技術的變化。 ..
|
