信息安全計劃是企業為了保障信息安全而必須監管的一套控制機制。其內容主要包括企業為保護重要數據資產需要采取的安全策略和過程。信息安全計劃應當有一套有效的步驟。本文討論改善此過程的七個步驟。
制定或獲得安全計劃
很多中小型企業并沒有一套安全計劃,即使有,往往也是一紙空文。
制定一套信息安全計劃有助于企業將重點放在需要保護的資產和安全風險上,同時也會引導企業采取減輕風險的措施。
其實,通過互聯網就可以找到許多通用的信息安全管理計劃,以這種信息安全管理計劃作為開端還是很不錯的。但企業應當使自己的安全計劃具有業務針對性,針對特定的需要和操作。
讓雇員成為信息安全管理過程的一部分
雇員越多地參與到信息安全的管理過程,企業信息安全管理成功的可能性就越大。讓員工成為查找風險和應對措施的一分子,投入到整個過程和計劃中。
信息安全管理過程應當教育企業中的每一個人。
還有重要的一點,讓每個人都為可授受的使用策略出謀劃策,并且每年都要簽定安全策略協議。
要激勵員工嚴格遵循計劃,并鼓勵他們提出必要的計劃修改建議。
進行業務影響評估
企業需要執行業務影響評估,其目的是確認對企業的關鍵運營生死攸關的應用程序、數據和系統。
制定或改善信息安全管理計劃的最佳方法是確保它有所依據。畢竟,設計安全計劃的目的是為了保護人員、資產、數據等。
企業還應當確認機密數據及其位置,確認其接收、存儲、傳輸和訪問的方式。然后,設法保護機密數據,借助實用、適當的安全方法來滿足業務需求。
為災難做好規劃
災難恢復計劃對于企業的功能正如氧氣對于人的作用一樣。企業需要問一下,如果業務停頓了,是否會喪失收入和客戶以及未來的收入,是否會喪失聲譽,是否存在需要滿足的規范和要求?
如果企業對上述問題的回答是肯定的,它就需要一個災難恢復計劃。那么災難恢復計劃應當包含哪些呢?
簡單來說,該計劃保護的范圍應當包括你的人員、關鍵信息和系統。業務影響評估有助于企業確認暴露程度并確定目標,有助于確保正確地保護機密數據。
接下來的問題是平衡成本。例如,如果數據泄露的成本是20000元,你不會花600000元來防止其發生,但是如果把這兩個數字反過來,這種投資就值得了。
反復培訓
企業應當就安全策略、基本信息安全、社交工程攻擊的識別和避免等方面對雇員進行培訓。培訓內容最好結合鮮活的例子,切忌空話連篇。此外,向雇員提供關于互聯網、社交媒體、可移動設備的安全使用的相關信息相當重要。
就員工正在使用的技術進行培訓,用以支持企業的具體環境,更要培訓技術方面的安全措施。人身上不可能存在一個可以防止犯錯的防火墻,但能夠代替這種防火墻的最佳選擇應當是人的知識和信心。
評估和監視
企業應通過評估衡量自己的安全計劃。應當在被要求審計之前就自己執行審計,以便于找到已經建立的控制中的漏洞,從而不斷地改善自己的計劃。
必須監視企業使用的數據及保管此數據的系統,確保其不會受到意外變化的破壞。還要監視用戶,確保其遵循企業已經建立的安全規則及認證過程中不存在漏洞。必須監視事件,確保自己可以管理一個高效的事件響應過程。
為未來的變更進行規劃
小型企業趨于動態變化,而且將要采用或將要進入安全計劃的任何東西也應當是動態的。隨著企業需要和過程的變更,也需要對計劃進行檢查和調整。總體而言,應將安全計劃看作是企業成長發展的一種鮮活的不斷演變的要素。
京公網安備 11010502049343號