电信运营商:信息安全超越IT
发布时间:2006年02月19日点击数:
作者:孟庆麟 来源:本站原创
构筑信息安全体系,并非只有IT。IT的目标是运营获利,而非其他。没有一个体系是完整的,也没有一个体系运营是没有风险的,所以必须很清楚知道风险管理机制。
信息安全风险只是所有风险中的一部分,所以必须在整个企业运营的框架中考虑信息流的重要程度。信息安全必须根据业务需求做出判断。
要建设信息安全管理体系,必须了解企业目前的规范流程,并且获得企业最高管理层的支持。然后进行培训、定义作业和信息安全方针。因为所有的操作必须向下展开,90%操作都会无法完成。因此,必须要求领导懂IT技术也有核心思想,要像谈判一样不断循环建立这个系统。
在信息安全管理体系中,信息安全的核心应该以风险评估为基准,不能以达标为目标。信息安全管理体系不仅要依赖IT手段,还必须跟其它所有管理体系,包括SOX法案等联合进行。
在风险评估方法中,可以采用定性或者定量的风险评估方法。然而,对于一般的企业来说,定量分析难度极大。倘若数据库积累不够,便无进行定量分析,企业必须积累3到5年,才可以尝试定量分析,否则没有获得数据积累的效益。
比较流行的方法是以资产驱动风险评估方法。应该盘点企业风险评估中所看重的企业资产,而这个过程将非常复杂。然而信息无处不在,要理清所有信息,难度也非常大。国际企业的惯例是要构筑安全体系,首先分析风险差异。一般先进行信息安全风险评估,然后定出解决方案,确认实践与完成风险处置计划的方案。
风险评估的方法,在ISO13335中有一个方法论,据此评估外部风险和内部的脆弱点。只有威胁和脆弱点都被评估出来,才能够保证安全。脆弱点是心肝肺出现问题,威胁是感冒和病毒,而它们结合才会产生风险。
在信息安全领域,还必须注意机密性、完整性和可用性。尤其是电信运营商,必须保证业务的不间断性,如果因为自身管理疏失,就会造成客户流失。尽管机密性、完整性、可用性跟信息安全无关,信息安全的定义很狭义,但这些都值得重视,要构筑信息安全体系,也并非只有IT手段。点击按钮自动加关注代码——新浪微博
信息安全风险只是所有风险中的一部分,所以必须在整个企业运营的框架中考虑信息流的重要程度。信息安全必须根据业务需求做出判断。
要建设信息安全管理体系,必须了解企业目前的规范流程,并且获得企业最高管理层的支持。然后进行培训、定义作业和信息安全方针。因为所有的操作必须向下展开,90%操作都会无法完成。因此,必须要求领导懂IT技术也有核心思想,要像谈判一样不断循环建立这个系统。
在信息安全管理体系中,信息安全的核心应该以风险评估为基准,不能以达标为目标。信息安全管理体系不仅要依赖IT手段,还必须跟其它所有管理体系,包括SOX法案等联合进行。
在风险评估方法中,可以采用定性或者定量的风险评估方法。然而,对于一般的企业来说,定量分析难度极大。倘若数据库积累不够,便无进行定量分析,企业必须积累3到5年,才可以尝试定量分析,否则没有获得数据积累的效益。
比较流行的方法是以资产驱动风险评估方法。应该盘点企业风险评估中所看重的企业资产,而这个过程将非常复杂。然而信息无处不在,要理清所有信息,难度也非常大。国际企业的惯例是要构筑安全体系,首先分析风险差异。一般先进行信息安全风险评估,然后定出解决方案,确认实践与完成风险处置计划的方案。
风险评估的方法,在ISO13335中有一个方法论,据此评估外部风险和内部的脆弱点。只有威胁和脆弱点都被评估出来,才能够保证安全。脆弱点是心肝肺出现问题,威胁是感冒和病毒,而它们结合才会产生风险。
在信息安全领域,还必须注意机密性、完整性和可用性。尤其是电信运营商,必须保证业务的不间断性,如果因为自身管理疏失,就会造成客户流失。尽管机密性、完整性、可用性跟信息安全无关,信息安全的定义很狭义,但这些都值得重视,要构筑信息安全体系,也并非只有IT手段。
上一篇:信息安全的人力防火墙
下一篇:世界级电信运营企业的信息安全管理
推荐专题
订阅
治理评论
- 治理评论第一期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第六期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]
