文档介绍:企业信息安全
既不是简单的安全产品堆砌,也不等同于局部的网络安全,而应是基于需求组成的以管理、技术和人员三者有机结合的立体架构。 在进行信息安全总体架构计划时,企业轻易陷入两个误区: 一是罗列一堆产品和技术,把能够看到的安全产品和安全技术全部堆砌起来,认为这么就组成了全方面的安全屏障; 二是把等同于网络安全,给出的计划也只能是局部的、残缺不全的。
要做总体架构计划,首先要了解企业的信息安全需求。抛开需求做计划,难免会掉进前面所讲的两种误区中。所以,做计划要从需求入手。
总体架构计划模型以的需求为出发点,以应用安全、数据安全、主机安全、网络安全、桌面安全、物理安全为关重视点,层层剖析、全方面挖掘企业的信息安全需求,是一个将管理、技术和人员三者有机结合的保障体系。该模型均衡考虑了企业在保密性、完整性和可用性三方面的安全需求。
总体架构计划模型即使清楚地指出了计划的关键点、关键和思绪,不过根据此模型还是不知道怎样去做,详细实施应参考一定的方法论进行。总体架构计划方法论融合了以管理和技术为关键的全方面分析方法,以安全需求为焦点,从管理现实状况、技术现实状况和人员情况三个维度,综合采取调查问卷、人员访谈、现场察看、资料分析、技术检测等多个手段,全方面深入地挖掘需求。在明确需求的前提下,借鉴同类企业成功经验并均衡考虑CIA,计划符合企业实情的信息安全保障体系。
在总体架构计划方法论中,关键工作的描述以下:
调查问卷
针对企业情况,信息主管应参考ISO27001/ISO13335等标准,制订对应的调查问卷,经过它全方面了解企业的安全要求、安全情况、IT环境,和企业信息系统的应用情况和已经采取的安全控制手段。
人员访谈
应选定关键领导和关键岗位,进行人员访谈,全方面了解信息系统的安全需求,层层剖析、深入了解企业信息系统各层面的安全现实状况,包含应用情况、数据存放及数据库、主机及操作系统、网络拓扑及网络管理、数据中心及桌面管理等。
现场查看
为了确保获取信息的全方面性和正确性,实地考察是很必须的。现场查看关键有两方面。首先是了解现有技术方法的情况,比如设备使用情况、技术应