信息安全计划是企业为了保障信息安全而必须监管的一套控制机制。其内容主要包括企业为保护重要数据资产需要采取的安全策略和过程。信息安全计划应当有一套有效的步骤。本文讨论改善此过程的七个步骤。
制定或获得安全计划 很多中小型企业并没有一套安全计划,即使有,往往也是一纸空文。 制定一套信息安全计划有助于企业将重点放在需要保护的资产和安全风险上,同时也会引导企业采取减轻风险的措施。 其实,通过互联网就可以找到许多通用的信息安全管理计划,以这种信息安全管理计划作为开端还是很不错的。但企业应当使自己的安全计划具有业务针对性,针对特定的需要和操作。
让雇员成为信息安全管理过程的一部分 ……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
信息安全计划是企业为了保障信息安全而必须监管的一套控制机制。其内容主要包括企业为保护重要数据资产需要采取的安全策略和过程。信息安全计划应当有一套有效的步骤。本文讨论改善此过程的七个步骤。
制定或获得安全计划
很多中小型企业并没有一套安全计划,即使有,往往也是一纸空文。
制定一套信息安全计划有助于企业将重点放在需要保护的资产和安全风险上,同时也会引导企业采取减轻风险的措施。
其实,通过互联网就可以找到许多通用的信息安全管理计划,以这种信息安全管理计划作为开端还是很不错的。但企业应当使自己的安全计划具有业务针对性,针对特定的需要和操作。
让雇员成为信息安全管理过程的一部分
雇员越多地参与到信息安全的管理过程,企业信息安全管理成功的可能性就越大。让员工成为查找风险和应对措施的一分子,投入到整个过程和计划中。
信息安全管理过程应当教育企业中的每一个人。
还有重要的一点,让每个人都为可授受的使用策略出谋划策,并且每年都要签定安全策略协议。
要激励员工严格遵循计划,并鼓励他们提出必要的计划修改建议。
进行业务影响评估
企业需要执行业务影响评估,其目的是确认对企业的关键运营生死攸关的应用程序、数据和系统。
制定或改善信息安全管理计划的最佳方法是确保它有所依据。毕竟,设计安全计划的目的是为了保护人员、资产、数据等。
企业还应当确认机密数据及其位置,确认其接收、存储、传输和访问的方式。然后,设法保护机密数据,借助实用、适当的安全方法来满足业务需求。
为灾难做好规划
灾难恢复计划对于企业的功能正如氧气对于人的作用一样。企业需要问一下,如果业务停顿了,是否会丧失收入和客户以及未来的收入,是否会丧失声誉,是否存在需要满足的规范和要求?
如果企业对上述问题的回答是肯定的,它就需要一个灾难恢复计划。那么灾难恢复计划应当包含哪些呢?
简单来说,该计划保护的范围应当包括你的人员、关键信息和系统。业务影响评估有助于企业确认暴露程度并确定目标,有助于确保正确地保护机密数据。
接下来的问题是平衡成本。例如,如果数据泄露的成本是20000元,你不会花600000元来防止其发生,但是如果把这两个数字反过来,这种投资就值得了。
企业应当就安全策略、基本信息安全、社交工程攻击的识别和避免等方面对雇员进行培训。培训内容最好结合鲜活的例子,切忌空话连篇。此外,向雇员提供关于互联网、社交媒体、可移动设备的安全使用的相关信息相当重要。
就员工正在使用的技术进行培训,用以支持企业的具体环境,更要培训技术方面的安全措施。人身上不可能存在一个可以防止犯错的防火墙,但能够代替这种防火墙的最佳选择应当是人的知识和信心。
评估和监视
企业应通过评估衡量自己的安全计划。应当在被要求审计之前就自己执行审计,以便于找到已经建立的控制中的漏洞,从而不断地改善自己的计划。
必须监视企业使用的数据及保管此数据的系统,确保其不会受到意外变化的破坏。还要监视用户,确保其遵循企业已经建立的安全规则及认证过程中不存在漏洞。必须监视事件,确保自己可以管理一个高效的事件响应过程。
为未来的变更进行规划
小型企业趋于动态变化,而且将要采用或将要进入安全计划的任何东西也应当是动态的。随着企业需要和过程的变更,也需要对计划进行检查和调整。总体而言,应将安全计划看作是企业成长发展的一种鲜活的不断演变的要素。
相关推荐
-
测试企业安全,网络安全消防演习是否行得通?
我的公司正在考虑开展安全消防演习或者甚至网络战游戏来测试我们的信息安全计划,这似乎是一项浩大的工程,那么,网络战游戏是否对企业有利?
-
如何抵御SAP漏洞?
最新研究显示,超过95%的SAP系统可能有潜在的灾难性漏洞。在本文中,专家Nick Lewis探讨了如何抵御这些SAP漏洞以及怎样保持ERP安全性。
-
信息安全人员和律师:有效合作的三个领域
法律团队在成功的信息安全计划中发挥着关键的支持作用。本文中专家Mike Chapple介绍了了信息安全专业人士和律师应联手合作的三个领域,并提供了促进有效合作的建议。
-
网络安全度量标准:基本的网络安全控制评估
我现在面临一个挑战:根据当前的人力资源和能力投入,评估我们公司的安全态势。我想问,是否有衡量网络安全水平的标准?对我来说,第一步最好做什么?