| |
制定恰当的信息安全规划
| |
铭万网
|
时间:
2007年11月15日16:02
|
信息来源:
| | 编 者 按 :事实上,绝对的安全是做不到的,也是不需要的。企业需要做的是,通过恰当的安全控制,寻求将风险减少到可接受的水平。而在这一过程中,将精力放在制定有效的战略规划,可以更好地帮助企业走出危机四伏的困境。
|
目前,大多数首席安全官(CSO)可能并不将精力放于拟订战略规划上,只是有此要求而已。对此乔治亚大学的首席信息安全官(CISO)Stan Gatewood来说,这种选择有着成堆的理由。
“您的生活中会伴随着经济活动,您也会从事社会活动。”Gatewood说,“这些您都可以找到相关技术帮助,有相关法律法规遵循,但信息安全的商业战略规划却无法从专业书藉或研究资料中却找到有帮助的适用法则。”
尽管如此,Gatewood仍表示战略规划是需要的。“如果您没有具体规划,你又如何能知道你所做的一切是否正确?”他问道,“您只能摸着石头过河,被动地对遇到的每件小事做出反应。”
毕竟,这是企业和信息安全团体多年以来的运作方式:遇到问题,处理问题。由于信息安全部门是这样的被动,只有遇到事情才采取行动,使得他们对未来毫无把握。
但现在这一切都在渐渐发生着改变,因为首席安全官和首席信息安全官们开始认识到制定战略规划来作为行动指导的价值所在。就核心思想而言,战略规划不过是按照商业目的设定目标,然后不只规划未来几个月而是规划未来几年内如何达成这些目标的一个过程。
当然,许多CSO都做过计划,但多数还是与财政预算密切相连的年初战术计划。CSO们已知如何创建和执行一个战术计划,他们声称战略规划可帮助他们合理利用资源、获得安全主动性支持和与商业目标对齐,不用再在危机到来时手忙脚乱采取应急措施。
“这对CSO来说是真正的好事。”普华永道咨询服务部安全工程师James Quinnild表示,“首席安全官手上管理着更多的资金,他们对企业未来应更有远见,也有更多的人总是问首席安全官们,你们如何工作?你们具体做了什么?你们是如何安排所做工作的优先顺序?”一个思虑周密战略规划能帮助很好地回答这些问题。
特别是在瞬息万变的信息安全领域,规划未来可能是饱含危险的:技术时刻发生变化,新威胁也不断产生。尽管存在这些问题,但如果你想让企业走出危机模式(Crisis Mode),适当战略规划过程是至关重要的。以下战略规划开始的五个步骤。正如你所看到的,这不是什么高深理论,只是一些对信息安全的战略规划很适用的浅浅道理。
拟订大体规划
Gatewood两年前开始在位于美雅典城、拥有33000多名学生的乔治亚大学工作,当时他所做的第一件事就是读完他所能找到的每一份大学商业规划。其中,最重要是发现了大学校长写的一份五年规划。这种大体方案可帮助首席信息官摆脱战术模式(Tactical Mode)。Gatewood表示:“我从中看出我们大学的具体发展方向,从而在这基础上着手创建了安全战略目标。”
作者:李华
|
[1] [2] [3] [4] [5] 下一页>>
| | | |
本网引文仅用于传播,无经营目的;文章观点纯属作者个人意见,不代表本网观点;与本文相关意见及异议,请发信至zhaofeng@mainone.cn或致电:58271212-545。
| | |
| | | |
|
