建立企业的信息安全体系的流程

    一个企业如果需要建立信息安全体系架构,一般的流程如下:
 1、分析企业的信息安全目标,即企业在未来的3-5年的安全目标是什么?在信息安全方面达到什么样的程度?
 2、有了安全目标之后,下一步我们要做的就是分析企业目前的安全现状,此阶段一般通过风险评估等方式来实现,可选的方式有风险评估、安全审计、渗透测试等。
 3、分析了安全现状,我们接下来要做的就是分析安全目标和安全现状之间的差距,目标有了,现状也清楚了,差距自然而然也就出来了。差距分析阶段主要是分析企业目前的安全现状和目标之间还存在哪些薄弱点,并一一列举出来,差距分析主要从组织安全、人员安全、访问控制、物理安全、安全事件、业务连续性等方面来展开。
 4、在我们得到差距之后,我们就要为企业设计安全体系架构了,一套完整的信息安全体系架构,应包括技术体系架构和管理体系架构,技术体系架构主要是指从网络、系统层面来设计,譬如分析企业目前的网络架构是否合理?产品的部署是否到位?而管理体系架构主要是指信息安全的制度建设,俗话说“无规矩不成方圆”,安全问题归根结底就是管理的问题,很多安全事件的发生都是因为管理不到位而产生的。譬如弱口令,如果企业的安全制度里有明确的要求,密码为6位,并应包括数字、字母、特殊字符等,这样完全是可以避免弱口令的现象,再譬如补丁更新不及时、ACL 做的不够等等诸如此类的问题,很大程度都是因为管理不到位。在我们的评估项目中,我们发现很多时候并不是技术上不可达,而是管理意识不到位。这里出现的比较多的是企业的高层领导的安全意识薄弱,对安全这一块基本没什么概念,对于管理员或安全部门提出的安全建议认为没有必要等等。很多安全的措施在很多企业都会出现实施难的问题,因为安全措施在很大程度上会给员工造成不便,员工都会出现抵触的情绪,在这种情况下,就需要公司的高层通过管理制度来推行安全措施,所以又归结到管理的问题上来。
 对于企业来说,如上的这些现象一般出现在中小型企业,这些企业的资金比较缺乏,在公司没有出现大的安全事件的时候,公司高层一般是不考虑在安全方面加大投资的,而在大型企业,随着规模的不断壮大,网络已经成为这些企业不可缺少的部分,如果一旦出现安全事件,将会给企业造成严重的损失,如客户资料丢失、财务数据泄密、企业形象受损等等,而大型企业的资金也比较雄厚,在安全方面的投资也就相对较多了。
 另外我们在设计信息安全体系架构时,应充分结合企业目前的安全现状和相关法律法规的要求,并应考虑企业的运营成本等问题,最后需要考虑就是信息安全体系架构设计的可执行性了,不能出现一套体系出来之后,发现根本没有联系企业目前的安全现状,方案的可执行性太差等问题。
 5、在我们建立了信息安全体系架构之后,最后的阶段就是实施了。在实施中,还是需要企业高层的大力支持,才能顺利进行,因为信息安全体系架构的实施和运行,比如会跨越不同的部门,在部门与部门的协调上,就需要上层领导的协调了。
 6、最后阶段就是 Check,信息安全体系架构应遵循 PDCA 的模型。我们应及时跟踪分析信息安全体系的建设情况,查漏补缺,及时发现不足和存在的问题,在后期的运行维护中及时修正。

(责任编辑:adminadmin2008)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

如何运维网站能让其稳定高效之稳定篇

如何运维网站能让其稳定高效之稳定篇

作为一名运维工程师,工作中最大的希望就是自己运维的网站能够稳定高效运行,但理想很...[详细]

黑客、Geek等高手们都是这样上网的

黑客、Geek等高手们都是这样上网的

电脑高手们都会尽可能地寻找各种快捷高效的操作方式,譬如很多快速启动类的工具(如Exe...[详细]

如何选择最佳的数据中心闪存?

如何选择最佳的数据中心闪存?

全闪存数据中心是个未来概念,同样还有不少方法实现数据中心内服务器或基于阵列的闪存...[详细]

手机解锁:图案、数字谁更强?

手机解锁:图案、数字谁更强?

手机九宫格解锁到底安全不?九宫格能画出多少图案啊?我自己设置的九宫格总是被同学分...[详细]

黑客声称一款流行的加密App竟然只用了异或

黑客声称一款流行的加密App竟然只用了异或加密!

一名黑客生成加密程序的作者竟然没有实现其核心的功能:加密! 这位ID为NinjaDoge24(...[详细]

返回首页 返回顶部