神马文学网何为企业的信息安全?
来源:百度文库 编辑:神马文学网 时间:2024/04/28 00:19:17
1999年6月来京访问的Gartner Group信息安全专家William Marlik先生在其主讲的“信息安全及风险管理”的讲座中谈到,企业在考虑信息安全问题时,首先想到的往往是各个销售商所提供的信息安全技术产品。其实,技术只是表层的问题,任何信息安全产品都是“不完美”的,而且更重要的是不“完美”的人使用这些“不完美”的产品。因此,Marlik认为,与其关注信息安全产品的性能,不如更加重视建立一套可靠、可行的信息安全体系架构。这也是许多国际知名企业正在做的和已经做的,而在这些企业中,安全体系架构的建立则往往由首席信息安全执行官来完成。 首席信息安全执行官(CISO, Chief Information Security Officer),又称为信息安全主管,其主要职责是通过建立一套完整的信息安全体系架构,保护一个组织整体的信息安全,避免受到来自外部和内部的威胁和破坏。这种专门负责信息安全的职位在美国一些大型的、依赖数据生存的企业已经存在一段时间了。
一个商业组织内部存在着各式各样的职位,有些可能会像《彼得原理》一书中所讲的那样“为不再胜任的老资格员工创造一些不加薪水、毫无权力的副职新头衔”。但显然,在今天这个信息代表着企业最宝贵的资产的时代,一位管理这笔巨大资产的主管位置无论如何都不可能是一个“虚”位。
Marlik说,在考虑信息安全问题时,信息安全主管首先应该明确,商业数据是公司的一项具有价值的资产,不同性质的商业数据具有不同的价值。一旦这些数据由于各种原因造成丢失、改动或泄露,都会给公司带来不同程度的财产损失。因此,在购买信息安全产品之前,信息安全主管要做的一件事情,就是为不同性质的商业数据制定不同的安全级别。
同时,信息安全主管还要通过对历史数据的分析,看到谁最有可能突破信息安全的保护层,导致信息财产损失。Marlik说,他在长期的研究中发现,那些既熟悉业务流程又通晓技术手段的公司内部人对企业信息安全造成的威胁最大。美国联邦调查局的报告表明, 计算机安全犯罪, 使美国每年有大约75%的公司蒙受损失。1995年统计, 以白领犯罪为特征的计算机安全事件给全球造成的经济损失高达150亿美元。由于受到内部攻击的企业秉承“家丑不可外扬”的信条,实际的经济损失数字可能更大。另外,计算机技术的普及,再加上企业系统为了适应商业需要变得更加开放、友好,因此企业内部越来越多的人将具有潜在的信息安全威胁性。“一个不懂技术的人对公司产生的威胁,大不了就是把计算机抱回家;而一个懂业务的技术高手在不造成任何表面异常的情况下,就可能将公司资产转移到自己的帐户上,”Marlik说,“现在的情况是,前一种人越来越少,后一种人越来越多。”
对不同性质的商业数据进行价值归类以及分析潜在的信息安全威胁,只是建立信息安全体系架构的“热身”,是必要的前提准备工作。要实现这个目标,信息安全主管面前的路还很长,还有很多步要走。一个企业范围的信息安全解决方案还要:
(1)建立信息安全政策和标准;
(2)建立信息安全的决策执行流程;
(3)提高员工安全意识,并加强培训工作;
(4)信息安全技术和产品的实施和应用;
(5)对政策执行和产品应用情况进行有效的控制和监督。
这样看来,技术和产品的采购工作是最后的步骤。因此在采购之前,信息安全主管还要做大量的相关工作。比如说,如果一个员工看到另一名员工在计算机上做一些可能不适当的事情,那么对前一个员工来说:
(1)是否知道后者的行为是对是错?
(2)是否会想到应该向有关主管汇报?
(3)是否知道应该向谁汇报?
只要这3个问题中有一个是否定的,那么这个公司的安全体系就存在问题,哪怕公司选择了功能最强大的安全产品和技术,也无法保证公司的数据资产高枕无忧,万无一失。同样,如果企业不知道如何注销一个辞职员工的身份认证卡,或者在这方面没有设立类似的安全标准,这样的企业最好先不要急于购买信息安全产品。
一个企业的物理财产能够更容易地进行价值评估,但公司的知识财产在其财务报表中找不到自己的位置,但这不能说明知识财产并不存在,因为其价值体现在公司的股票收益上。知识财产的价值是“易变的”,如果受到不当的扩散、修改、丢失,其价值就会大大受损。所以,关于客户、成本、流程和新产品的信息安全程度极大地影响到企业知识财产的价值量。知识财产失控所导致的损失会比物理财产损失大得多,企业受到的不利影响也会更大。为保护这些“软”资产,很多企业已经在知识产权保护上进行人力资源和财务资产的再分配,其中包括设立一个管理信息安全风险的经理人,也就是首席信息安全执行官,并相应地增加其权力和影响力。于是,随着信息安全重要性的增加,信息安全功能逐渐从IT部门剥离出来,并独立地形成自己的一套管理体系。在组织内部,首席信息安全执行官与首席信息执行官(CIO)成为权力对等的单位实体。
Marlik介绍说,一个完整的信息安全体系架构主要是为了能够传递信息安全决策,在此基础上,这套体系的各个部门实现自己的功能。这是一个3层结构的体系,首席信息安全执行官位居体系上层,统领政策与标准、行政、教育与培训、风险管理以及工程与架构等部门功能,这些部门的任务又由底层的具体单位来实施。当然,公司与公司的具体情况可能不同,其功能也有所异。比如,在波音公司的首席信息安全执行官领导着多达200人的队伍,而花旗银行的首席信息安全执行官手下只有5个人。
一个商业组织内部存在着各式各样的职位,有些可能会像《彼得原理》一书中所讲的那样“为不再胜任的老资格员工创造一些不加薪水、毫无权力的副职新头衔”。但显然,在今天这个信息代表着企业最宝贵的资产的时代,一位管理这笔巨大资产的主管位置无论如何都不可能是一个“虚”位。
Marlik说,在考虑信息安全问题时,信息安全主管首先应该明确,商业数据是公司的一项具有价值的资产,不同性质的商业数据具有不同的价值。一旦这些数据由于各种原因造成丢失、改动或泄露,都会给公司带来不同程度的财产损失。因此,在购买信息安全产品之前,信息安全主管要做的一件事情,就是为不同性质的商业数据制定不同的安全级别。
同时,信息安全主管还要通过对历史数据的分析,看到谁最有可能突破信息安全的保护层,导致信息财产损失。Marlik说,他在长期的研究中发现,那些既熟悉业务流程又通晓技术手段的公司内部人对企业信息安全造成的威胁最大。美国联邦调查局的报告表明, 计算机安全犯罪, 使美国每年有大约75%的公司蒙受损失。1995年统计, 以白领犯罪为特征的计算机安全事件给全球造成的经济损失高达150亿美元。由于受到内部攻击的企业秉承“家丑不可外扬”的信条,实际的经济损失数字可能更大。另外,计算机技术的普及,再加上企业系统为了适应商业需要变得更加开放、友好,因此企业内部越来越多的人将具有潜在的信息安全威胁性。“一个不懂技术的人对公司产生的威胁,大不了就是把计算机抱回家;而一个懂业务的技术高手在不造成任何表面异常的情况下,就可能将公司资产转移到自己的帐户上,”Marlik说,“现在的情况是,前一种人越来越少,后一种人越来越多。”
对不同性质的商业数据进行价值归类以及分析潜在的信息安全威胁,只是建立信息安全体系架构的“热身”,是必要的前提准备工作。要实现这个目标,信息安全主管面前的路还很长,还有很多步要走。一个企业范围的信息安全解决方案还要:
(1)建立信息安全政策和标准;
(2)建立信息安全的决策执行流程;
(3)提高员工安全意识,并加强培训工作;
(4)信息安全技术和产品的实施和应用;
(5)对政策执行和产品应用情况进行有效的控制和监督。
这样看来,技术和产品的采购工作是最后的步骤。因此在采购之前,信息安全主管还要做大量的相关工作。比如说,如果一个员工看到另一名员工在计算机上做一些可能不适当的事情,那么对前一个员工来说:
(1)是否知道后者的行为是对是错?
(2)是否会想到应该向有关主管汇报?
(3)是否知道应该向谁汇报?
只要这3个问题中有一个是否定的,那么这个公司的安全体系就存在问题,哪怕公司选择了功能最强大的安全产品和技术,也无法保证公司的数据资产高枕无忧,万无一失。同样,如果企业不知道如何注销一个辞职员工的身份认证卡,或者在这方面没有设立类似的安全标准,这样的企业最好先不要急于购买信息安全产品。
一个企业的物理财产能够更容易地进行价值评估,但公司的知识财产在其财务报表中找不到自己的位置,但这不能说明知识财产并不存在,因为其价值体现在公司的股票收益上。知识财产的价值是“易变的”,如果受到不当的扩散、修改、丢失,其价值就会大大受损。所以,关于客户、成本、流程和新产品的信息安全程度极大地影响到企业知识财产的价值量。知识财产失控所导致的损失会比物理财产损失大得多,企业受到的不利影响也会更大。为保护这些“软”资产,很多企业已经在知识产权保护上进行人力资源和财务资产的再分配,其中包括设立一个管理信息安全风险的经理人,也就是首席信息安全执行官,并相应地增加其权力和影响力。于是,随着信息安全重要性的增加,信息安全功能逐渐从IT部门剥离出来,并独立地形成自己的一套管理体系。在组织内部,首席信息安全执行官与首席信息执行官(CIO)成为权力对等的单位实体。
Marlik介绍说,一个完整的信息安全体系架构主要是为了能够传递信息安全决策,在此基础上,这套体系的各个部门实现自己的功能。这是一个3层结构的体系,首席信息安全执行官位居体系上层,统领政策与标准、行政、教育与培训、风险管理以及工程与架构等部门功能,这些部门的任务又由底层的具体单位来实施。当然,公司与公司的具体情况可能不同,其功能也有所异。比如,在波音公司的首席信息安全执行官领导着多达200人的队伍,而花旗银行的首席信息安全执行官手下只有5个人。
何为企业的信息安全?
CIO信息安全手册:九步制定企业安全计划
何为快速成长型企业
新型病毒入侵全球2500家企业--中国计算机安全--信息安全、网络安全资讯
古巴为维护信息安全弃用微软视窗系统
信息资产的分类与控制 | 信息安全体系/管理/服务 - 国际信息安全学习联盟
“黑屏”事件背后的信息安全危机
网络信息安全的主要威胁
何为“丰满”的设计
何为媒体的“断章取义”?何为夸大与放大?
企业“道德的血液”因何澎湃
[转帖]C 编程指南 帝国艺术[ C and C Programming ] 邪恶八进制信息安全团队官方技术讨论组 - 努力为祖国的信息安全撑起一片蓝天 - EvilOctal Security Team - E.S.T
企业安全文化的核心是以人为本
个人电脑信息安全指南
信息安全师
瑞星杀毒软件爆出高危漏洞 可被利用为“抓鸡工具”--中国计算机安全--信息安全、网络安全资...
信息安全必须加强的30个细节
信息安全不可低估的30个细节
信息安全不可低估的30个细节
信息安全不可低估的30个细节-1
信息安全防范的头等大事—严防数据泄露
信息安全必须加强的30个细节
科学网-陈长松的博客-什么是信息安全?
信息安全不可低估的30个细节