如何建立有效的企業(yè)信息安全資產(chǎn)保護計劃并得到有效實施,是每個企業(yè)管理層和信息安全決策者最關(guān)心的問題���。
一�、企業(yè)面臨的信息安全風(fēng)險趨勢
企業(yè)越來越依靠信息資源�,安全事件不斷增長,而安全事件造成的損失以及用于事件處理的財力���、人力以及IT資源的投入需要不斷增長�。這就需要進行IT規(guī)劃和費用調(diào)整以保證適當(dāng)?shù)陌踩度����,部署有效的工具,來解決緊迫的安全問題�����。
1�����、從信息安全到業(yè)務(wù)安全
業(yè)務(wù)安全需求不斷變化��,相關(guān)技術(shù)不斷進步��。企業(yè)不斷擴展業(yè)務(wù)��,員工����、客戶以及合作伙伴越來越多地與企業(yè)網(wǎng)絡(luò)連接,進行移動辦公和開展在線業(yè)務(wù)����,這也就意味著對核心信息資產(chǎn)的威脅機會增加。信息安全已經(jīng)從單獨的保護計算機系統(tǒng)發(fā)展到保護業(yè)務(wù)安全��。網(wǎng)絡(luò)應(yīng)用的攻擊可以導(dǎo)致業(yè)務(wù)中斷�,影響經(jīng)濟收入和客戶形象�。
二�����、企業(yè)信息安全的目標(biāo)和安全需求
信息安全的目標(biāo)是“通過防止和減小安全事故的影響��,保證業(yè)務(wù)連續(xù)性���,使業(yè)務(wù)損失最小化”��。 保護企業(yè)的信息資產(chǎn)對于業(yè)務(wù)持續(xù)以及法律遵循都是關(guān)鍵的�。由于這些原因����,信息被看作業(yè)務(wù)資產(chǎn)的一部分,需要有效的管理�����。因此�,企業(yè)必須保護信息資產(chǎn)的機密性、完整性和可用性�����。
1、業(yè)務(wù)安全
信息安全的目標(biāo)是保護企業(yè)的信息資產(chǎn)�,防范業(yè)務(wù)風(fēng)險,保證業(yè)務(wù)連續(xù)性���。因此,業(yè)務(wù)安全是企業(yè)信息安全的終極目標(biāo)�。 企業(yè)需要把安全作為業(yè)務(wù)戰(zhàn)略目標(biāo)的一部分,安全不再只是一種投入��,而是能夠促進和保障業(yè)務(wù)產(chǎn)出的手段����。因此,企業(yè)需要有效地實施信息安全控制�,保護有價值的資產(chǎn),支持和達成企業(yè)業(yè)務(wù)目標(biāo)�。 業(yè)務(wù)安全需求包括業(yè)務(wù)連續(xù)性、業(yè)務(wù)流程安全����、法律安全要求、隱私保護要求等�����。
2、IT安全
IT系統(tǒng)實現(xiàn)業(yè)務(wù)功能����,是企業(yè)業(yè)務(wù)信息化的關(guān)鍵。IT能力的發(fā)展的驅(qū)動因素是業(yè)務(wù)發(fā)展方向�,同時也驅(qū)動了安全的建設(shè)。IT系統(tǒng)的安全持續(xù)運行是實現(xiàn)企業(yè)業(yè)務(wù)價值的保障�。
IT安全需求就是從IT的角度明確安全保護需求以及IT系統(tǒng)對安全的支持情況,包括兩個層面的內(nèi)容:一是IT系統(tǒng)自身的安全需求��,包括業(yè)務(wù)安全需求的功能實現(xiàn)以及網(wǎng)絡(luò)安全��、系統(tǒng)安全�、應(yīng)用安全、數(shù)據(jù)安全�����、業(yè)務(wù)連續(xù)性等層次的需求�����;另一個層面是安全系統(tǒng)對IT系統(tǒng)功能的要求����,例如對IT基礎(chǔ)設(shè)施�����、服務(wù)管理方面的要求����。 安全建設(shè)既保證了IT基礎(chǔ)設(shè)施和服務(wù)的安全����,又屬于IT建設(shè)的一部分���。因此�����,安全建設(shè)需要與IT戰(zhàn)略相一致�,并且適應(yīng)未來IT基礎(chǔ)設(shè)施和技術(shù)的變化�。 ..
|
