如何建立有效的企业信息安全资产保护计划并得到有效实施,是每个企业管理层和信息安全决策者最关心的问题。
一、企业面临的信息安全风险趋势
企业越来越依靠信息资源,安全事件不断增长,而安全事件造成的损失以及用于事件处理的财力、人力以及IT资源的投入需要不断增长。这就需要进行IT规划和费用调整以保证适当的安全投入,部署有效的工具,来解决紧迫的安全问题。
1、从信息安全到业务安全
业务安全需求不断变化,相关技术不断进步。企业不断扩展业务,员工、客户以及合作伙伴越来越多地与企业网络连接,进行移动办公和开展在线业务,这也就意味着对核心信息资产的威胁机会增加。信息安全已经从单独的保护计算机系统发展到保护业务安全。网络应用的攻击可以导致业务中断,影响经济收入和客户形象。
二、企业信息安全的目标和安全需求
信息安全的目标是“通过防止和减小安全事故的影响,保证业务连续性,使业务损失最小化”。 保护企业的信息资产对于业务持续以及法律遵循都是关键的。由于这些原因,信息被看作业务资产的一部分,需要有效的管理。因此,企业必须保护信息资产的机密性、完整性和可用性。
1、业务安全
信息安全的目标是保护企业的信息资产,防范业务风险,保证业务连续性。因此,业务安全是企业信息安全的终极目标。 企业需要把安全作为业务战略目标的一部分,安全不再只是一种投入,而是能够促进和保障业务产出的手段。因此,企业需要有效地实施信息安全控制,保护有价值的资产,支持和达成企业业务目标。 业务安全需求包括业务连续性、业务流程安全、法律安全要求、隐私保护要求等。
2、IT安全
IT系统实现业务功能,是企业业务信息化的关键。IT能力的发展的驱动因素是业务发展方向,同时也驱动了安全的建设。IT系统的安全持续运行是实现企业业务价值的保障。
IT安全需求就是从IT的角度明确安全保护需求以及IT系统对安全的支持情况,包括两个层面的内容:一是IT系统自身的安全需求,包括业务安全需求的功能实现以及网络安全、系统安全、应用安全、数据安全、业务连续性等层次的需求;另一个层面是安全系统对IT系统功能的要求,例如对IT基础设施、服务管理方面的要求。 安全建设既保证了IT基础设施和服务的安全,又属于IT建设的一部分。因此,安全建设需要与IT战略相一致,并且适应未来IT基础设施和技术的变化。 ..
|
