、減少威脅��、降低風(fēng)險(xiǎn)��,所以針對(duì)重大風(fēng)險(xiǎn)項(xiàng)目���,必須設(shè)計(jì)適當(dāng)控制措施����。例如有實(shí)體的信息資產(chǎn)(如計(jì)算機(jī)主機(jī))�,可以放置在設(shè)有安全系統(tǒng)的機(jī)房?jī)?nèi),如此資產(chǎn)弱點(diǎn)就會(huì)比較不明顯�,而計(jì)算機(jī)主機(jī)遭竊或遭到惡意破壞的威脅也會(huì)減輕,其他控制措施還有像安裝網(wǎng)絡(luò)防火墻��,防毒軟件���,不斷電系統(tǒng)��,或是加強(qiáng)信息安全教育訓(xùn)練等����。
然而所謂控制措施只是針對(duì)個(gè)別信息資產(chǎn)或風(fēng)險(xiǎn)項(xiàng)目,而不是企業(yè)整體風(fēng)險(xiǎn)��,因此在設(shè)置控制措施時(shí)除了考慮成本效益��,還要顧及彼此的關(guān)聯(lián)性及互補(bǔ)性��,以英國(guó)建立的國(guó)際信息安全標(biāo)準(zhǔn)為例�,完整的信息安全架構(gòu)(Information Security Management Structure,ISMS)包含十個(gè)項(xiàng)目,詳細(xì)內(nèi)容請(qǐng)參考BS7799發(fā)行的資料:
*信息安全政策
*信息安全組織
*信息資產(chǎn)分類(lèi)與控管
*人員安全
*設(shè)備與環(huán)境的控管
*通訊與作業(yè)程序控管
*系統(tǒng)發(fā)展與維護(hù)控管
*存取控管
*企業(yè)永續(xù)經(jīng)營(yíng)管理
*遵循控管
在這個(gè)管理架構(gòu)中����,我們可以看到許多并不是針對(duì)特定資產(chǎn)或風(fēng)險(xiǎn)的控管項(xiàng)目,但是對(duì)于企業(yè)整體信息安全有很大影響�,如管理層對(duì)于信息安全的看法及態(tài)度,外來(lái)單位存取組織內(nèi)信息處理設(shè)施時(shí)的安全管理�����,委外加工處理時(shí)相關(guān)信息的安全管理����,降低人為錯(cuò)誤,偷竊���,欺騙或設(shè)備誤用的風(fēng)險(xiǎn)等���,此外整個(gè)架構(gòu)還強(qiáng)調(diào)企業(yè)必須思考如何在發(fā)生重大系統(tǒng)失效或人為疏失時(shí),不會(huì)因此中斷企業(yè)活動(dòng)���,且能保護(hù)企業(yè)關(guān)鍵流程持續(xù)運(yùn)作���,除了將損害降至最小外,在事后還能從中學(xué)習(xí)并監(jiān)督以后類(lèi)似事件是否發(fā)生�,另一方面還要顧及避免觸犯任何刑事或民事法和已成文的規(guī)范,合約義務(wù)及信息要求等��。
建立信息安全體系
根據(jù)BS7799方法論�����,整個(gè)信息安全體系的建立可以分為六個(gè)步驟:
* 定義信息安全政策
* 定義信息安全體系范圍
* 執(zhí)行風(fēng)險(xiǎn)評(píng)估程序
* 決定風(fēng)險(xiǎn)可接受水平
* 選擇與設(shè)計(jì)控制措施
* 提出適用性聲明
項(xiàng)目經(jīng)理勝任力免費(fèi)測(cè)評(píng)PMQ上線啦�!快來(lái)測(cè)測(cè)你排多少名吧~
http://opto-elec.com.cn/pmqhd/index.html
