對(duì)于企業(yè)安全管理具體涵蓋的內(nèi)容,網(wǎng)絡(luò)安全專家認(rèn)為,首先要明確企業(yè)的哪些資產(chǎn)需要保護(hù):企業(yè)必須花費(fèi)時(shí)間與精力來首先確定關(guān)鍵數(shù)據(jù)和相關(guān)的業(yè)務(wù)支持技術(shù)資產(chǎn)的價(jià)值。通常,各公司認(rèn)為表述資產(chǎn)的價(jià)值是很容易的,但具體如要按級(jí)別界定就不那么簡單。
對(duì)此,就需要用安全廠商與企業(yè)共同制定規(guī)范以確定需要保護(hù)的資產(chǎn)的安全級(jí)別,并為制定切實(shí)可行的安全管理策略打下基礎(chǔ)。其次,還需完成威脅識(shí)別及風(fēng)險(xiǎn)評(píng)估的任務(wù):如果企業(yè)想增強(qiáng)競爭實(shí)力,必須隨時(shí)改進(jìn)和更新系統(tǒng)和網(wǎng)絡(luò),但是機(jī)會(huì)增加常伴隨著安全風(fēng)險(xiǎn)的增加,尤其是機(jī)構(gòu)的數(shù)據(jù)對(duì)更多用戶開放的時(shí)候——因?yàn)榧夹g(shù)越先進(jìn),安全管理就越復(fù)雜。所以企業(yè)為了消除安全隱患,下一步就需要安全廠商與企業(yè)一起必須要對(duì)現(xiàn)有的網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用進(jìn)行相應(yīng)的風(fēng)險(xiǎn)評(píng)估,確定在企業(yè)的具體環(huán)境下到底存在哪些安全漏洞和安全隱患。
再次是在此基礎(chǔ)上,制定并實(shí)施安全策略,完成安全策略的責(zé)任分配,設(shè)立安全標(biāo)準(zhǔn):幾乎所有企業(yè)目前都有信息安全策略,只不過許多策略都沒有書面化,只作為完成任務(wù)的一種手段。恰當(dāng)?shù)男畔踩呗员仨毰c機(jī)構(gòu)的所有業(yè)務(wù)需求直接相關(guān)。它基于幾類安全標(biāo)準(zhǔn)。標(biāo)準(zhǔn)分類將使企業(yè)能發(fā)現(xiàn)違反策略的行為,并指出每個(gè)區(qū)域的漏洞或潛在安全威脅區(qū)。最后,企業(yè)安全管理還應(yīng)包括安全廠商與企業(yè)共同組織的對(duì)企業(yè)安全管理人員進(jìn)行安全培訓(xùn),以便維護(hù)和管理整個(gè)安全方案的實(shí)施和運(yùn)行情況。
信息安全問題之所以成為企業(yè)管理中很難解決的一個(gè)問題的主要原因在于:信息資產(chǎn)與物理資產(chǎn)的差異性。一般而言,信息資產(chǎn)與物理資產(chǎn)的基本區(qū)別是,信息資產(chǎn)是動(dòng)態(tài)變化的,而物理資產(chǎn)是固定不變的。信息資產(chǎn)在許多方面表現(xiàn)出動(dòng)態(tài)特征---從信息以運(yùn)行數(shù)據(jù)(客戶帳戶、業(yè)務(wù)交易等)的形式產(chǎn)生開始,直到在各種業(yè)務(wù)功能和過程中最終的應(yīng)用(ERP,CRM,商業(yè)智能)。IT界為信息生命周期的每一個(gè)階段推出了許多單一性的產(chǎn)品。這些產(chǎn)品分別用于解決生命周期中某個(gè)方面的問題,包括信息的生成、處理、分布、存檔、檢索和處置。某一種信息資產(chǎn)在生命周期的每一個(gè)階段各有其價(jià)值。而且,一般來說它的價(jià)值會(huì)隨著生命周期的進(jìn)展而增加。因此,企業(yè)的這種動(dòng)態(tài)資產(chǎn)在其進(jìn)展的每一步中必須受到保護(hù),以防止外部和內(nèi)部的威脅。遺憾的是,技術(shù)廠商們至今并不能出色地提供這些產(chǎn)品功能以保護(hù)信息安全。
由于IT是管理企業(yè)不可缺少的工具,公司董事會(huì)和經(jīng)理們?nèi)绾温男兴麄兊幕韭氊?zé)以保護(hù)公司最有價(jià)值并且是動(dòng)態(tài)的資產(chǎn)---公司信息的整體?當(dāng)然,對(duì)于常見和已知的安全薄弱環(huán)節(jié),現(xiàn)在和將來會(huì)不斷出現(xiàn)新的產(chǎn)品,例如,防病毒,防火墻以及加密等。正如我們已經(jīng)論述的,技術(shù)手段是必要的,但不足以解決信息資產(chǎn)保護(hù)的全部問題。完整地看,還有其它方面要考慮---與技術(shù)結(jié)合在一起。
