風(fēng)險管理�����,只有技術(shù)還遠(yuǎn)遠(yuǎn)不夠�,它更多是有關(guān)于戰(zhàn)略�����、流程���、人��、框架等各種元素�,這幾個組成部分都是非常重要的��。
其中�,何迪生特別提到了流程——安全效果的獲得還有賴于安全有效的管理流程。凡是涉及到流程問題�����,單獨依靠安全廠商是不夠的,還需要用戶企業(yè)的努力�,其中至少體現(xiàn)為:第一,企業(yè)的決策層支持安全流程的建立;第二���,需要進(jìn)行專業(yè)的商業(yè)風(fēng)險分析;第三����,依靠業(yè)務(wù)和IT的人員一起建立安全策略;第四���,構(gòu)建安全架構(gòu)并進(jìn)行部署;第五,持續(xù)不斷地開展系統(tǒng)安全監(jiān)控��。
對此��,何迪生指出���,只有將安全管理流程與深層防御體系組合在一起����,才能構(gòu)成最佳的企業(yè)安全策略���,而這也是企業(yè)建設(shè)安全生態(tài)圈并最終獲得安全體驗的必由之路�����。
結(jié)語
在三年前�,何迪生曾對媒體表示過他的擔(dān)憂:中國很多企業(yè)對信息安全重視非常不夠。而現(xiàn)在�,他承認(rèn)這種情況已經(jīng)發(fā)生了很大的變化。
“中國企業(yè)對信息安全����、IT風(fēng)險的重視程度越來越高了,盡管對于應(yīng)該做什么����、怎么做還不夠清晰,但是在主觀思想和重視程度上���,已經(jīng)達(dá)到了相當(dāng)高度����。許多發(fā)展和需求處于起步階段���,發(fā)展速度非常的快����。”
盡管中國企業(yè)在安全建設(shè)問題上����,還存在著一定的誤區(qū),比如認(rèn)為購買昂貴的大型防火墻�、殺毒軟件或者有關(guān)的安全產(chǎn)品就能提供很好的防護(hù)?����!熬腿缤粋€昂貴的防護(hù)門�����,但是卻沒有鎖好�。這依然起不到很好的安全防護(hù)作用����。”何迪生表示���,昂貴的產(chǎn)品和解決方案并不一定適合企業(yè)自身的需求���。
其實��,在這一兩年中����,發(fā)生在何迪生身上的改變�,并不僅僅是他對外界變化的認(rèn)知,兩年前還幾乎不能用漢語對話的他��,現(xiàn)在已經(jīng)能夠講一口流利的普通話了����。然而,在他身上�,從未改變的是他對安全理念的傳播意愿與布道精神。
不論是在微軟的身份��,還是在ISACA���、ISSA�����、CFIP- ISA�、BCM的身份���,何迪生都一直在努力讓每一個中國企業(yè)都了解IT安全問題的重要性����,和他們分享解決IT風(fēng)險管理的各種經(jīng)驗,并提供行之有效的解決方案��。
“中國太大了�,這會花費大量的時間和精力,但作為一個中國人���,我愿意為此付出努力����?����!焙蔚仙f��。