信息安全治理最基础的7件事

围观次数:486 views

自古开门七件事,“柴米油盐酱醋茶”。企业也是一个大家庭,企业信息安全治理也有开门七件事“组责产险文技人”。

 

组织

信息安全组织是企业信息安全治理最为重要的一个基础,一个覆盖全员的信息安全组织是企业信息安全治理的基础。

良好的信息安全组织保障能够确保企业的信息安全工作能够有效的与各相关部门衔接,企业的各项信息安全要求能够迅速自上而下传达到每一个人。同时,良好的信息安全组织有助于企业一线的各类信息安全意见和建议也能够迅速的反馈到企业的信息安全管理部门。

 

责任

信息安全的责任应当属于上至老板、下至全体员工,信息安全责任绝非一个人、一个部门可以负担的。企业中的每个部门、每个岗位都应当承担起本部门管辖范围内的信息资产保护责任。

一个企业的信息资产分布的企业各个部门、各个岗位,可能导致信息资产不安全的风险也存在于各个部门和各个岗位。因此,只有明确各个岗位的信息安全责任,才能真正有效的形成群防群策的信息安全局面,真正的保护好企业的信息安全。

在这一点上,很多企业实行“业务谁主管、安全谁负责”的原则是一个非常好的开端。与之相反,很多企业在出现诸如信息泄露等事件时,仅追究越权窃密者的责任,而不去调查被窃密者对企业信息资产疏于保护的责任,则显然不利于企业信息资产的保护。

 

资产

信息安全治理,本质上讲就是保护企业的信息资产安全。但是很多企业对于自己有哪些信息资产却无法说清,建立一份企业信息资产清单就显得尤为必要。这份资产清单应当成为企业信息安全治理的作战地图,有哪些信息资产、谁负责、谁使用、哪些重要都要清清楚楚明明白白。

信息资产主要包括各类文档、数据及其载体。对信息资产的梳理应当按照按照前述的“业务谁主管、安全谁负责”的原则,由业务负责人进行梳理并动态调整。这样也就可以避免信息资产清单与实际业务活动不符的情况出现。

对于一个成熟的企业而言,业务流程相对规范,流程中每个节点应当输出的文档和数据也相对明确,各类固定资产的管理也十分清洗。建立信息资产清单的任务,即可以通过相关的业务流程、物理资产台账等相关责任部门引申而来,从而提高效率降低成本。

 

风险

“没有绝对的安全”,只要企业还在运营,信息安全风险是永远存在的。企业进行信息安全治理时,切忌抱有实现“绝对”安全的幻想。信息安全治理的投入应当遵循“二八法则”的原理,集中80%的资源去处置20%的安全风险,严格控制ROI。

信息安全风险永远存在不代表可以不管住信息安全风险。企业的信息安全治理,应当围绕着信息安全资产面临的风险进行。定期的对企业的信息资产进行风险评估和分级是一个很好的做法

 

文档

“文”指的是企业的各项信息安全策略、制度、流程、规范、记录。一个良好的信息安全治理,必须要有健全的安全文档。这些文档,提现了企业信息安全治理的思路,同时也是事前预防、事中响应和事后分析的重要依据。

在这一点上,切忌为了制定文档而制定文档。没有文档不行,仅有文档更是万万不可。很多企业一提到信息安全治理便拿出成堆的信息安全文档,但是仔细查看却发现要么文档已经多年未修订,要么就是文档一套实际执行的是另一套。

文档应当从实践中来,到实践中去。良好的文档生命周期管理和执行力是非常重要的。

 

技术

这里的技术包括两部分理解:

首先,就是技术的漏洞。随着信息技术的发展,企业很多信息资产都是承载在各种不同的信息系统或设备中。对于这些信息资产,应当充分评估承载其的信息系统和设备可能存在的安全风险。

其次,伴随着信息技术的发展,信息安全技术也在不断的发展。了解和选择合适的信息安全技术,能够有效的提升信息安全治理的效果和效率,同时也降低信息安全治理带来的负面作用。

 

人员

“人”永远是信息安全治理中不可回避的一个话题。人的主动性使得“人”成为信息安全治理过程中最大的不可控因素。

企业信息安全治理应当通过宣贯、培训、合约、法律等各种手段,持续的、反复的向企业全体人员灌输各种安全技能、安全要求和安全知识,让保护企业信息资产成为全体员工的一种本能。

 

 

本文Sec-UN和个人公众号首发,关注信息安全治理实务,请微信关注

从“0”到“1”:如何开始企业的信息安全治理 - 第2张  | Sec-UN 安全圈

发表评论

电子邮件地址不会被公开。 必填项已用*标注

广告赞助