| 出版日期:2004-11-01 总期号:592 本年期号:42 |
|
 |
中小企业信息安全评估
断剑 近年来,中小企业对于信息安全的重视程度有了很大改善,很多企业都会请信息安全专家对公司进行信息安全风险评估,根据评估结果提出安全要求进而购置合理的信息安全设备,保障企业安全。 一般安全要求是通过对安全风险的系统评估确定的。应该将实施控制措施的支出与安全故障可能造成的商业损失进行权衡考虑。风险评估技术适用于整个组织,或者组织的某一部分以及独立的信息系统、特定系统组件或服务等。在这些地方,风险评估技术不仅切合实际,而且也颇有助益。 进行风险评估需要系统地考虑以下问题: 1. 故障可能造成的业务损失,包含由于信息和其它资产的保密性、完整性或可用性损失可能造成的后果; 2. 当前主要的威胁和漏洞带来的现实安全问题,以及目前实施的控制措施。 评估的结果有助于帮助中小企业确定适宜的管理手段,以及管理信息安全风险的优先顺序,并实施所选的控制措施来防范这些风险。必须多次重复执行评估风险和选择控制措施的过程,以涵盖组织的不同部分或各个独立的信息系统。 对安全风险和实施的控制措施进行定期审查非常重要,目的是考虑业务要求和优先顺序的变更,新出现的安全威胁和漏洞以及确认控制措施方法是否适当和有效。 应该根据以前的评估结果以及管理层可以接受的风险程度变化对系统安全执行不同程度的审查。通常先在一个较高的层次上对风险进行评估(这是一种优先处理高风险区域中的资源的方法),然后在一个具体层次上处理特定的风险。 对于系统管理员来说,需要重复使用所学到的知识,建立自己新的知识和技术融入到一个更好的安全实施当中去。安全是一个启发式的执行过程,必须实时地测试来持久的提高你的安全系统。提高安全系统经常是对你构造或重新构造系统的一个考验,确保持久安全的惟一方法就是实时和系统管理员进行沟通。 信息安全评估是一项对整体要求非常严格的工作,因此只有规范的项目管理制度才能够顺利保障评估的效果与质量。 |
||||||||||||||||||||
