如今的商业信息所处的生态链十分复杂,其中的环节包括技术、合规要求、标准、商业流程、厂商、安全威胁、市场压力等。这些信息在网络、多应用、数据库、服务器中纵横流动。
信息安全的基本原则总体可分为三条:可用性、集成性和保密性。可用性是指信息必须能够及时向那些需要的人提供;集成性意味着信息必须完整;而保密性则是通过授权访问来加强信息的安全。
对企业IT来说,如何制定并实施企业安全计划(ESP)是一件至关重要的任务,专家建议可以分成以下9个细节步骤来完成。
1:建立信息安全团队
一般而言,企业需要建立两支团队:管理团队和跨职能安全团队。管理团队通常由高层管理人员组成,负责制定ESP目标、安全策略总纲、获取预算,并建立跨职能安全团队。
而跨职能安全团队则负责日常的IT安全运作,包括管理IT资产、评估威胁与攻击、管理风险、建立策略、建立流程和控制,执行内部审计,并提供培训。
2:管理信息资产
管理信息资产是从执行现有IT资产调查开始入手。调查范围包括硬件、应用(内部或第三方)、数据库和其它信息资产(比如网络共享文件夹、ftp站点等)。调查完成后,每种资产必须指明所有人或管理人,然后根据不同的风险等级、商业价值等级,或受到安全威胁后公司需要付出的成本进行分类。
3:评估威胁、弱点和风险
威胁是指会对信息资产构成风险的源头,列出所有的潜在威胁,基于它们的重要性进行分类评级。弱点是指可能造成安全泄露的薄弱环节,范围包括人员、流程和技术。而风险是指可能对企业造成不可预见的负面影响的事件,比如员工在email中打开不知明的附件,中了病毒或恶意程序等。
4:管理风险
风险管理应当围绕避免、减弱或转移展开。在判定出风险等级后,就可以通过不同的方式加以处理。比如可以通过使用Lotus Notes替代Outlook、安装最新的防毒软件、培训员工加强风险意识,不要打开未知附件,或将email服务外包给第三方来转移风险。
5:建立事件管理和容灾恢复计划
事件管理定义比较广泛,包括防止安全泄露、控制IT资产流失、保护关键数据的误删除,或对数据中心可能发生的供电中断做出准备等。妥善的事件管理计划应当能对所有可预见的问题做出快速响应。而根据自然力量所造成的不可预见事件所做出的响应计划则被称为容灾恢复计划。
6:管理第三方
在信息生态链上,复杂性与风险性还会来自于第三方,比如服务提供商、软件厂商或任何中间媒介。第三方网络或实践上的不安全性随时会对企业造成不同程度的安全漏洞。
列出所有你所使用的第三方公司,根据信息的延伸、分享程度,以及重要性划分等级。审核第三方是否拥有安全测量实践,并在必要时进行控制干预。
7:实施安全控制
安全控制一般分为两类:技术控制保护电脑硬件、软件或固体(比如访问控制机制、识别和授权机制、加密方式、入侵侦测软件等);非技术控制管理并执行如安全策略、操作流程、人员、物理和环境安全。
另一种常见的控制分类方法是分为预防型控制和侦测型控制。预防性控制是通过安全策略来抑制威胁攻击,而侦测型控制则是属于被动式,通过提示来向操作或管理人员表明正在发生的攻击意图。
8:培训
培训往往是企业最容易忽略,也不愿去做出投入的一个部分。其实,哪怕技术保护和安全测量手段再先进,如果员工的安全意识薄弱,也难以充分发挥应有的作用。而培训员工提高安全意识,才是加强ESP的关键。
9:审计
通过定期的内部审计来确保策略和流程的有效,控制的正确实施,合规要求完全符合,风险等级在可管理范围内,并定时更新各种安全和培训计划。
有些大型企业也会使用外部审计,好处是第三方能够提供客观、中立的安全评估和建议。
小结
如今的信息安全不再是IT一个部门的事。随着信息生态链的复杂化,信息对企业重要性的提高,以及安全威胁的增多,保护信息安全已成为整个企业的共同责任。而制定一份可行、有效的ESP计划,能帮助企业多增加一层防护罩。