| |
制定恰当的信息安全规划
| |
铭万网
|
时间:
2007年11月15日16:02
|
信息来源:
| | 编 者 按 :事实上,绝对的安全是做不到的,也是不需要的。企业需要做的是,通过恰当的安全控制,寻求将风险减少到可接受的水平。而在这一过程中,将精力放在制定有效的战略规划,可以更好地帮助企业走出危机四伏的困境。
| 确立可衡量的目标
在做好上述基本工作后,也就到了开始将商业风险与商业目标联系起来的时候。CSO必须有自己的策略。
策略的最上层的是CSO自己的目标。这些目标可以很简单,就如你们所想要的那样。在雅芳公司,Littlejohn最直接任务是:保护雅芳的人员、产品、利润、财产、过程和名誉。在美国电话电报公司(AT&T),它的首席信息安全官Ed Amoroso的目标也同样简单:改善安全、减少成本和利用安全防护建立竞争优势。
同时,还需要策略简化在未来几年内实现这些任务的方式。随着计划进展,它的针对性逐渐减少。CSO也可以选择与董事会成员分享一份更少针对性的计划,而在安全部门内运行一个更详细计划。窍门就在于除考虑明年采用的战术以外,CSO还要制定出未来几年内所要实现的目标。
例如,一个战术计划可能包括在不远的将来安全部门将怎样处理软件补丁。但战略的补丁管理则是大为不同的,它会根据首席信息安全官预期需加强补丁管理时间长短而发生变化。
“如果我们充分考虑后认为,软件行业未来两三个月内不会出现更多Bug在他们软件中,那么我们将不会决定投资建设一个补丁基础设施。”Amoroso表示,“我的本能告诉我在接下来的两个月内,你不会看发现这情况会变得更好。但问题是在于什么时候会呢?”如果首席信息安全官预期他的团队将不得不在接下来的五年内安装更多补丁,他可能决定投资来优化这些补丁安装的方式显得很有理财意义。但如果他认为补丁只是一个短期解决方案,最终供应商会创造出更好产品,他可能制定一个战略决定来保持不断地手工安装补丁。
不过无论你如何设计,战略工作的拟定都必须掌握两个要点。一是你必须确保每笔资金最终都花在你的目标上(与商业目标密切相关)。Amorosos表示:“这完全决定于你的财政预算以及对某一年将实施的计划的排列和优先顺序。”
另一个要点是要找到可以衡量达成这些目标到何程度的指标。例如,Littlejohn已开始给在其评估报告上每件事分配一个数值:1(没有实现)、2(部分实现)、3(完全实现)。年复一年地,这使他一目了然地知道他达成他的目标到何程度。他拥有自己战略,并以此来论证它的进展情况。
“业务领导不像过去那样轻易一惊一乍了。”自从1997年开始一直在信息安全部门工作的乔治亚大学首席信息官Gatewood表示,“如果你一露面就只是大叫‘天要塌下来了’,那么他们会告诉你‘我们去年、上周早听说了’。他们只相信铁的事实和精确数字,他们想要的是可衡量的、可行的和可复验的信息。”
作者:李华
|
上一页 [1] [2] [3] [4] [5] 下一页>>
| | | |
本网引文仅用于传播,无经营目的;文章观点纯属作者个人意见,不代表本网观点;与本文相关意见及异议,请发信至zhaofeng@mainone.cn或致电:58271212-545。
| | |
| | | |
|
