CIO该怎样为企业制定安全计划
来源:电脑商情报 更新时间:2007-10-10

  
  随着网络规模的不断扩大,以及业务对网络稳健性需求的不断强烈,信息安全成了CIO眼下最热的话题之一。

  记得两年前的“冲击波”吗?这个病毒一下子让无数企业网络处于瘫痪状态,造成的直接经济损失规模大的惊人。如今企业都面临着是否要信息化的选择,信息安全也随之成了信息化的重要一环。可令人费解的是,众多企业宁可花大把的钱购买服务器、交换机,却很少愿意掏合适的价钱去加强企业网络的安全措施,难道信息安全对企业一无所用?

  没有几家用户敢说自己拥有无懈可击的信息安全计划。事实上,在确保业务信息的可用性、完整性以及机密性方面,各行各业的用户都面临或大或小的挑战。

  随着安全威胁的与日俱增和日益复杂,越来越多的用户开始采取更主动的方法来实现信息安全: 将安全现状与确保业务连续性所需要的安全目标进行比较分析,以此确定存在的问题和不足,并积极采取有针对性的措施,从而向创建和实现保护关键资产所需的可靠架构迈出重要一步。
  
明确业务要求

  一项信息安全计划要想行之有效,就必须充分考虑人员、过程和技术三要素。因此用户在确定存在安全差距时同样需要考虑这些要素。

  在确定差距时,用户首先需要确定关键业务目标,然后概括出实现这些业务目标所需要的安全条件。这些业务目标和要求将成为企业制订信息安全计划的基准。接下来,用户需要确定公司的长期战略目标、业务环境可能发生的变化、高优先级的安全问题以及其他战略战术问题。

细分评估过程

  以业务需求分析作基础,接下来用户需要将企业当前的安全架构与信息安全计划的目标进行比较。这是一个费时、费力的过程。如果将人员、过程和技术评估细分到三个关键领域-战略、组件与管理,这个过程就会得到大大简化。

  利用简单的评分方法对关键领域进行分级,可以使评估工作更加容易进行。例如,零分表示完全没有实现,1分表示部分实现,2分表示全面实现。不过,对于许多用户来说,确定评估标准才是问题的关键。

  回答一些关键问题,可以帮助用户有效地确定评估标准和划分信息安全计划的等级。每个问题的答案都利用相同的评定标准进行打分,这样用户就可以确定需要改进的领域。

  在评估有关人员要素的战略时,用户可以询问以下问题:是否以书面形式制定了信息安全战略,战略是否定期更新,是否涉及一致性检测或认证,公司将信息安全战略定性为被动的还是主动的。

  在评估人员要素的组件时,用户可以询问以下问题: 是否拥有专职信息安全人员,是否由相应称职的人员来领导,是否有正在执行的培训计划等等。

  在评估人员要素的管理问题时,可以通过以下问题来确定:是否定期向行政管理人员提交状况报告,行政管理人员是否拥有信息安全计划,信息安全计划是否可以强制执行等等。

  在评估信息安全计划的过程与技术要素时,可以询问以下相关问题:信息安全过程和策略便于通过公司的内部网查看吗?安全过程组件部署到位了吗?(安全过程组件包括账户管理、安全意识、应急响应、安全漏洞扫描和可以接受的使用组件。)安全技术部署到位了吗?(安全技术包括防病毒软件、防火墙、安全漏洞管理和入侵检测系统。)

制订路线图与实施

  一旦确定信息安全现状与理想状态的差距,用户就可以动手制订路线图,以弥补当前与未来信息安全计划之间的差距。利用从业务需求分析和差距分析中得到的信息,用户可以开发所希望的安全架构。

  行之有效的路线图通常为弥补信息安全差距提供多种方案。路线图应当包括今后两年的战略计划以及更长远的计划。用户可以选择符合业务优先重点的路线。公司应当对进展情况进行密切监视,以确保改进持续进行,并不断得到管理层的支持。

  通过确定关键业务需求、分析信息安全架构的当前状况、划定未来需要改进的领域以及为实现信息安全目标制定灵活的路线图,用户可以大大加强自己的安全优势。

  随着保护信息资产的人员、过程和技术部署的到位,用户就拥有了确保信息保密性、完整性和可用性所需要的资源。