对于企业安全管理具体涵盖的内容,网络安全专家认为,首先要明确企业的哪些资产需要保护:企业必须花费时间与精力来首先确定关键数据和相关的业务支持技术资产的价值。通常,各公司认为表述资产的价值是很容易的,但具体如要按级别界定就不那么简单。
对此,就需要用安全厂商与企业共同制定规范以确定需要保护的资产的安全级别,并为制定切实可行的安全管理策略打下基础。其次,还需完成威胁识别及风险评估的任务:如果企业想增强竞争实力,必须随时改进和更新系统和网络,但是机会增加常伴随着安全风险的增加,尤其是机构的数据对更多用户开放的时候——因为技术越先进,安全管理就越复杂。所以企业为了消除安全隐患,下一步就需要安全厂商与企业一起必须要对现有的网络、系统、应用进行相应的风险评估,确定在企业的具体环境下到底存在哪些安全漏洞和安全隐患。
再次是在此基础上,制定并实施安全策略,完成安全策略的责任分配,设立安全标准:几乎所有企业目前都有信息安全策略,只不过许多策略都没有书面化,只作为完成任务的一种手段。恰当的信息安全策略必须与机构的所有业务需求直接相关。它基于几类安全标准。标准分类将使企业能发现违反策略的行为,并指出每个区域的漏洞或潜在安全威胁区。最后,企业安全管理还应包括安全厂商与企业共同组织的对企业安全管理人员进行安全培训,以便维护和管理整个安全方案的实施和运行情况。
信息安全问题之所以成为企业管理中很难解决的一个问题的主要原因在于:信息资产与物理资产的差异性。一般而言,信息资产与物理资产的基本区别是,信息资产是动态变化的,而物理资产是固定不变的。信息资产在许多方面表现出动态特征---从信息以运行数据(客户帐户、业务交易等)的形式产生开始,直到在各种业务功能和过程中最终的应用(ERP,CRM,商业智能)。IT界为信息生命周期的每一个阶段推出了许多单一性的产品。这些产品分别用于解决生命周期中某个方面的问题,包括信息的生成、处理、分布、存档、检索和处置。某一种信息资产在生命周期的每一个阶段各有其价值。而且,一般来说它的价值会随着生命周期的进展而增加。因此,企业的这种动态资产在其进展的每一步中必须受到保护,以防止外部和内部的威胁。遗憾的是,技术厂商们至今并不能出色地提供这些产品功能以保护信息安全。
由于IT是管理企业不可缺少的工具,公司董事会和经理们如何履行他们的基本职责以保护公司最有价值并且是动态的资产---公司信息的整体?当然,对于常见和已知的安全薄弱环节,现在和将来会不断出现新的产品,例如,防病毒,防火墙以及加密等。正如我们已经论述的,技术手段是必要的,但不足以解决信息资产保护的全部问题。完整地看,还有其它方面要考虑---与技术结合在一起。
