吉安同乡会

 找回密码
 马上注册

QQ登录

只需一步,快速开始

微信登录,快捷一步

吉安同乡会 首页 网络游戏 查看内容

建立企业的信息安全体系的流程

2010-5-8 03:47| 发布者: 单行道| 查看: 6212| 评论: 0

  一个企业如果需要建立信息安全体系架构,一般的流程如下:

  1、分析企业的信息安全目标,即企业在未来的3-5年的安全目标是什么?在信息安全方面达到什么样的程度?

  2、有了安全目标之后,下一步我们要做的就是分析企业目前的安全现状,此阶段一般通过风险评估等方式来实现,可选的方式有风险评估、安全审计、渗透测试等。

  3、分析了安全现状,我们接下来要做的就是分析安全目标和安全现状之间的差距,目标有了,现状也清楚了,差距自然而然也就出来了。差距分析阶段主要是分析企业目前的安全现状和目标之间还存在哪些薄弱点,并一一列举出来,差距分析主要从组织安全、人员安全、访问控制、物理安全、安全事件、业务连续性等方面来展开。

  4、在我们得到差距之后,我们就要为企业设计安全体系架构了,一套完整的信息安全体系架构,应包括技术体系架构和管理体系架构,技术体系架构主要是指从网络、系统层面来设计,譬如分析企业目前的网络架构是否合理?产品的部署是否到位?而管理体系架构主要是指信息安全的制度建设,俗话说“无规矩不成方圆”,安全问题归根结底就是管理的问题,很多安全事件的发生都是因为管理不到位而产生的。譬如弱口令,如果企业的安全制度里有明确的要求,密码为6位,并应包括数字、字母、特殊字符等,这样完全是可以避免弱口令的现象,再譬如补丁更新不及时、ACL 做的不够等等诸如此类的问题,很大程度都是因为管理不到位。在我们的评估项目中,我们发现很多时候并不是技术上不可达,而是管理意识不到位。这里出现的比较多的是企业的高层领导的安全意识薄弱,对安全这一块基本没什么概念,对于管理员或安全部门提出的安全建议认为没有必要等等。很多安全的措施在很多企业都会出现实施难的问题,因为安全措施在很大程度上会给员工造成不便,员工都会出现抵触的情绪,在这种情况下,就需要公司的高层通过管理制度来推行安全措施,所以又归结到管理的问题上来。

  对于企业来说,如上的这些现象一般出现在中小型企业,这些企业的资金比较缺乏,在公司没有出现大的安全事件的时候,公司高层一般是不考虑在安全方面加大投资的,而在大型企业,随着规模的不断壮大,网络已经成为这些企业不可缺少的部分,如果一旦出现安全事件,将会给企业造成严重的损失,如客户资料丢失、财务数据泄密、企业形象受损等等,而大型企业的资金也比较雄厚,在安全方面的投资也就相对较多了。

  另外我们在设计信息安全体系架构时,应充分结合企业目前的安全现状和相关法律法规的要求,并应考虑企业的运营成本等问题,最后需要考虑就是信息安全体系架构设计的可执行性了,不能出现一套体系出来之后,发现根本没有联系企业目前的安全现状,方案的可执行性太差等问题。

  5、在我们建立了信息安全体系架构之后,最后的阶段就是实施了。在实施中,还是需要企业高层的大力支持,才能顺利进行,因为信息安全体系架构的实施和运行,比如会跨越不同的部门,在部门与部门的协调上,就需要上层领导的协调了。

  6、最后阶段就是 Check,信息安全体系架构应遵循 PDCA 的模型。我们应及时跟踪分析信息安全体系的建设情况,查漏补缺,及时发现不足和存在的问题,在后期的运行维护中及时修正。

相关阅读

最新评论

图文推荐

疫情防控 | 若何应对奥密克戎BA.5变异株?
疫情防控 | 若何应对
一、奥密克戎BA.5变异株是什么 新冠奥密
男人跨省乞助 ***敏捷出动解困难
男人跨省乞助 ***敏捷
近日,万安县潞田镇一老人在菜市场买菜时
防疫科普丨居家隔离应留意什么?请记牢这7个要点!
防疫科普丨居家隔离应
在疫情防控的关键阶段 居家隔离观察是阻
不共同防疫检讨还冲卡?万安公安:处分!
不共同防疫检讨还冲卡
近日,万安县公安局快速处置两起疫情防控
新时期党报成绩展(线上展)启动典礼在京举办
新时期党报成绩展(线
原标题:新时代党报成就展(线上展)启动
推迟婚期战“疫”忙  待到凯旋再施礼
推迟婚期战“疫”忙
吉安新闻网讯(彭生苟、记者 曾诗敏)有一

QQ|Archiver|手机版|小黑屋|手机版|吉安同乡会 ( 赣ICP备2021010355号 )值班电话:13410000095 站点地图

GMT+8, 2023-1-29 06:19 , Processed in 0.046814 second(s), 10 queries , MemCache On.

Powered by Jatxh X3.4

Copyright © 2006-2022, Jatxh Cloud.

返回顶部