! i: h- E0 t# I0 t& E- ?' R# `, u, b0 ]
8 A/ g0 T7 D) E$ a; t
在实际工作中,你需要能够对所保护的信息系统和数据的价值和保密费用作出正确地比较和评估。- v( g% m& o/ O6 e& S& M. C O
" p6 k. Y2 R1 H) Q' @% C# ]" ~ 8 F: A1 p0 |. L 4 A4 Q* k" N. W9 i8 b信息安全风险评估任务繁重,但是完成后您将可以了解:# B2 }7 ~: {7 \3 \, Z1 A$ _7 i
2 @& I W9 w- Z! p
* 贵公司的信息资源;' [- H. W, a+ h9 ^0 B+ O
7 w- k- n% ^. S5 D$ R: N* 正常运行并盈利的关键信息; 2 R- {; f; R6 f 0 e' x- ?, m% Z T. W7 h* 贵公司要防范的风险。 0 I1 d* b g: b( t# V8 k8 v + N8 O3 z4 p2 Q% p 1 ]( {; T% ? G" r: N3 w" w) o0 ]( I4 q" m/ y# C( e
风险评估有几分象网球赛,不可能一个人完成。在多数的公司,所必需的知识和资源分布在公司各个部门。通过对信息安全风险进行恰当的评估,您可以结识公司各部门的人员,了解整个公司到底如何运行。! y- Y9 o$ c! d0 v B' h0 T
0 b! ?( g1 V% H
6 L' Y" B5 ]) n o5 J/ a0 _7 ?! C # p1 S% W! O/ j+ s. UØ 偏见2:信息安全是个技术问题。 : Q: y& {" l7 g0 U% j$ W ( s k: k1 y; D! ^7 F) a7 l9 \4 p' x. @: l+ W! U: P5 V$ x
" l/ W: A( m' v% V y
您的加密方针是“所有的数据都必须用WhizBang 4.3和128位密钥加密”吗?如果是这样和话,那您就应该重新审视一下你的加密策略。我告诉你:策略不是技术手册。5 J: t' O7 d' Z+ h
: Y" M) K9 V v" \8 V* e G0 y0 a: A+ b2 I4 e
8 A8 k- o& k4 a/ d
信息安全策略能够反映贵公司维护信息安全的手段,是公司管理层对下级的指示。 ( H L: B6 l; Q3 Z q5 t9 ?! t. e0 P
5 n, n" l" Z) r1 B1 J! W' k3 ~+ z - W7 e& @; w. O F当然安全策略是不会具体描述如何去完成某项任务的,它只是大概地指出所要完成的目标是什么。例如,加密敏感信息的安全策略可能只有一句话:“机密或者高度机密的信息在公共网络的计算机上保存和传输时,必须使用公司信息安全部门认可的硬件或者软件对信息进行加密。”对于这段话,您应该注意:/ M5 H* h. {$ z7 S4 n
[/ e6 B# [1 [ P/ U: _- q$ e" J
- k. ?6 H% P* U% j2 n& V* 这段话很简单,不是技术性的,而且就像高级经理要说的那样。这很好,毕竟安全策略本来就应该是公司的总体指导性原则。% L' ^% o5 c8 w' i3 n' O1 L( [
2 @% Z# {6 |- \$ c# z. s# i* c
* 它申明了要达到的目标和为达到这个目标公司高层的因素。 / {$ I D/ L( k # [3 h# ]* t/ L/ \+ W" A8 t* 它没有具体指出要使用何种技术,如何配置。/ Q( k& Z4 I2 {; B1 I* K* J
: i) x8 u" [/ z1 s* 它是可评估的。当检查的时候,可以对各个部门执行的表现和成绩打分。 ! Z+ M4 M) G% c: L6 z1 ]; ]* p 0 Z5 [) V/ H& ~6 ]# ^* p+ S J* 它不会因为某种新的加密算法已经发布(或者旧的被废除),或者您的加密算法提供商破产而修改。1 _! N: n, G" D6 H" } t7 l3 O
" N8 l# r2 W3 E) e' G$ O7 N; ?
, o: U% g6 |0 S$ a O# b0 I7 y3 ]/ q% k + C$ T0 e$ |5 ?, N; X在这里您可以把信息安全的策略看做是国家的宪法。宪法并没有从细节上规定停车规则和建筑规则。但是,从中央政府到地方政府的所有法律都可以溯源到国家宪法。如同国家宪法一样,信息安全策略提供了维护网络信息系统安全日常规则的总体框架。 6 i/ e" V& V) A' C2 _* h3 [6 [* a3 v5 ~& k% i
+ e2 c {5 `1 _) G
; ?( l2 L* ^+ W; h8 T
Ø 偏见3:为支持信息安全策略,您的安全策略需要多层次的文档支持。; J" J& ?' g5 b8 u% p
9 x/ ~: u! C! B- q* W; I1 n + j# {- K- B F9 V2 M3 e, i. ]3 W+ E & [ }8 m! V& D. R* ? _新的信息安全策略不应该让人感到惊讶。制定策略的过程应该是个集体的活动,从一开始就要包括来自公司各个部门的人员。起草策略,然后询问同事新的策略对他们的工作方式会有什么影响。例如,一开始我们的策略拒绝任何非公司的计算机连接到公司的网络上。但是从我们的公司业务部门了解到,住在公司的一些顾问使用自己的膝上型电脑,许多员工将工作带回家通过VPN从私人的系统连接到公司的网络。预算中没有考虑为这些人购买新的计算机。于是我们需要回来修改这届策略,以在安全和预算中找到平衡。0 P, G1 C7 w% O$ _
/ c+ F0 @) j0 S8 J# b6 g9 l. D( @ X, F% i! A8 d7 u7 F, I. P7 l
; z. S/ D+ _# l: A9 e! @尽早让某些用户融入新的安全策略可以让他们成为新策略的受益者,并且让它们向公司其他员工宣传这些新的制度。相信需要信息安全的同事对其他同事的影响力要比IT安全的"职业妄想狂"大的多。如我公司的顾问组就变成了一个常设的委员会,可以同业务部门联络,保证安全措施同主要的业务部门相适应。% [) Y U5 _7 _2 {/ D, q
6 O; f, p. V* U2 u) w
5 s) X6 W R& n$ m- U, \ 7 o' K/ P# ^( WØ 偏见5:适当制造一定的安全威胁对新安全策略的推广往往是很有效的。/ K" ]6 S& Q' B3 Y( b- _
) `; V% L) Y2 ^ ) k: D3 C! s8 k# x' z 5 j+ u- K9 N& ~要想赢得人们对新的策略的支持,并且让他们都遵守它是很难的,于是利用人们的恐惧心理推销自己新的信息安全策略就很有诱惑力的。尽管警告经理和同事们放松安全警惕的严重后果一定程度上有效,但是每一次新病毒产生、每一次IIS有漏洞发现都发出警报的话,时间长了就有点像喊“狼来了”见怪不怪了。在谈到信息安全的时候要冷静,而且集中于事情本身。让大家遵守新策略的关键是让他们相信信息的巨大价值,并且应该保护信息;制定新策略要在安全需要和工作需要之间找到平衡;要得到公司高层对新策略的公开支持。这也意味着最后一个神话是至关重要的。 2 k% b, S! U5 X) N* [2 ^$ R * U+ U+ n9 r, k : p7 o J! O5 W3 {" D* j+ ~" {) N6 u. n- V: Y( N% h
Ø 偏见6:好了,新策略制定完毕,我的活干完了。4 O/ K2 A" W; o6 f/ y2 c
/ z* n9 U/ A7 Q2 y2 ~ P
1 X, _1 K* D/ }$ B" z+ v. H } # Z0 [: W, B% X n+ i9 b& a如果您今晚失眠,可以找一份典型的信息安全策略来看。马上就是第二天早晨。无论您的新策略多么地深思熟虑,多么地全面,但是如果人们不知道它们仍旧等于白费,建议让公司的高层来宣布新的安全策略。确定您的新策略散发的时候封皮上要有来自CEO的备忘录,备忘录要强调这是管理层的指示。这步完成之后,真正的工作才开始。 , E1 K3 O, B+ d1 Y2 H {7 s+ {( M + V; ^: d' X* S X" B& o0 `( q" m$ {
3 [ m( Q1 T+ m( W) o0 l
本公司的管理层几年前就知道信息安全优先的必要性,而且建立了一套非常好的了解程序。执行这套程序的同事把今年的新的信息安全的策略作为他们工作的中心。过去几个月里,他们: , C* Q; Q. A) D4 z3 }1 K* H% |& `: L M2 H* X
* 印刷日历,日历每个月强调不同的策略,悬挂在多数办公室和隔间里面。 " _9 K; L4 G' i7 Y; Y+ @/ j. \ # L9 J- U& v9 p9 T2 }! q* z9 A* 用浅显、幽默的语言写一份信息安全策略基本手册,分发给员工,人手一份。 + g Y/ g' d! s/ o- R3 T' b2 X+ t- ^
* 对所有员工进行时间为90分钟的信息安全培训。3 E7 R( I. C5 w& R% {7 V7 H
IP卡
狗仔卡
发表于 2004-10-9 14:31
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
