搜索歷史

熱搜詞

原創(chuàng)

活動

創(chuàng)新2.0

I T

產(chǎn)業(yè)

當前位置：首頁 >互聯(lián)網(wǎng)?IT > 安全 > 數(shù)據(jù)安全 > 正文

信息安全，需要360度的立體體系防護

來源：道普網(wǎng) ：佚名 2015-09-16 15:22:20

信息安全需要一個動態(tài)、立體的防護體系，包括安全設(shè)備、安全技術(shù)、安全管理等多個層面。因此，企業(yè)在進行信息化建設(shè)時應(yīng)考慮建立包含規(guī)劃、檢測、評估、運維等360度的實時、動態(tài)、完善的防護體系，以實現(xiàn)企業(yè)投資IT價值最大化。

信息安全規(guī)劃

信息安全規(guī)劃要依據(jù)企業(yè)信息安全現(xiàn)狀，進行系統(tǒng)的信息安全調(diào)研。在充分調(diào)研的基礎(chǔ)上，結(jié)合業(yè)務(wù)實際，制定信息安全建設(shè)方案。

近些年來，信息安全問題得到了國家和企事業(yè)單位的高度重視。在進行信息化建設(shè)時，信息安全工作應(yīng)本著“同步規(guī)劃、同步建設(shè)”的原則一并實施。企業(yè)在進行信息化建設(shè)時，應(yīng)同步考慮信息安全建設(shè)，制定系統(tǒng)、全面的信息安全規(guī)劃建設(shè)方案，包括：信息安全管理體系建設(shè)規(guī)劃方案、信息安全技術(shù)體系建設(shè)規(guī)劃方案和信息安全運維體系建設(shè)規(guī)劃方案。

企業(yè)在做信息安全規(guī)劃時要制定有效方案，解決目前存在的信息安全問題;同時梳理內(nèi)部信息安全管理組織架構(gòu)，制定長效保障機制;系統(tǒng)建立信息安全技術(shù)體系，確保信息安全符合縱身防御原則;建立信息安全運維體系，完善應(yīng)急處置預(yù)案，降低安全事件的發(fā)生給企業(yè)帶來的影響。

信息安全項目管理

信息安全項目實施過程中要加強監(jiān)理，包括配置管理、范圍管理、進度管理、費用管理、人力資源管理、溝通管理、風(fēng)險管理、采購與合同管理、項目收尾等內(nèi)容。

傳統(tǒng)的項目管理往往導(dǎo)致用戶在風(fēng)險管理與質(zhì)量控制方面流于形式，從而在實施過程中導(dǎo)致信息安全事件的發(fā)生。企業(yè)要對信息安全建設(shè)項目進行專業(yè)的過程控制。確保企業(yè)在進行信息安全項目建設(shè)時，將安全風(fēng)險降到最低;確保企業(yè)的信息安全項目確實符合既定目標，提高企業(yè)的整體信息安全防護水平;確保企業(yè)的信息安全項目成本可控，保質(zhì)按期完成。

信息安全檢測驗收

企業(yè)在進行信息安全建設(shè)項目完成后，往往無法評估自身的安全現(xiàn)狀是否還存在無法接受的風(fēng)險，或者是否符合國家相關(guān)標準的規(guī)定。因此要進行信息安全風(fēng)險評估，涉密信息系統(tǒng)的分級保護測評和非涉密系統(tǒng)的安全等級保護測評，此項建議采用經(jīng)過授權(quán)的第三方服務(wù)機構(gòu)進行專業(yè)測評。

風(fēng)險評估：在資產(chǎn)識別、威脅分析、脆弱點分析以及已有安全措施的基礎(chǔ)上，評估系統(tǒng)的安全風(fēng)險，進而滿足企業(yè)安全保護等級需求的基礎(chǔ)上，確定額外特殊的安全需求。

安全等級保護測評：依據(jù)《信息安全等級保護基本要求》、《信息安全等級保護測評準則》以及相關(guān)國標、部標等，測評信息系統(tǒng)對應(yīng)保護等級的符合性、適應(yīng)性和充分性，從而驗證系統(tǒng)的安全性。為被測評的信息系統(tǒng)順利通過國家監(jiān)督機構(gòu)進行的信息安全監(jiān)督檢查提供依據(jù)和保證。

通過第三方系統(tǒng)、專業(yè)的安全測評，單位能全面了解自身存在的安全風(fēng)險是否已達到可接受的程度;為保密主管部門提供系統(tǒng)審批的依據(jù);使信息系統(tǒng)的運營使用單位確實了解信息系統(tǒng)現(xiàn)狀與國家標準的符合性。

信息安全運維

加強與信息安全相關(guān)的日常運維工作，包括安全檔案維護、安全監(jiān)測預(yù)警、安全配置加固和安全應(yīng)急響應(yīng)救援。

安全檔案維護：包括基礎(chǔ)資料建檔和安全配置建檔。解決對網(wǎng)絡(luò)中安全設(shè)備的類別、型號、數(shù)量、用途及拓撲位置等情況不清晰的問題;解決對各安全設(shè)備系統(tǒng)版本、組件、策略配置情況和系統(tǒng)變更情況無法清晰掌控的問題。

安全監(jiān)測預(yù)警：包括安全通告、安全監(jiān)測、安全日志收集與分析和安全風(fēng)險評估。企業(yè)能及時了解最新的安全動態(tài)，實時監(jiān)測系統(tǒng)的安全運行狀況，定期收集分析相關(guān)安全日志，周期性進行安全風(fēng)險評估服務(wù)，保障系統(tǒng)的安全穩(wěn)定運行。

安全配置加固：包括安全檢測和安全加固。企業(yè)要周期性進行服務(wù)器安全漏洞掃描、數(shù)據(jù)庫安全漏洞掃描和應(yīng)用系統(tǒng)的安全漏洞掃描，定期對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫及應(yīng)用系統(tǒng)進行安全配置核查，及時發(fā)現(xiàn)系統(tǒng)的安全漏洞，并針對性的實施安全加固。

應(yīng)急響應(yīng)救援：包括應(yīng)急響應(yīng)預(yù)案制定和信息安全事件應(yīng)急響應(yīng)處理。企業(yè)應(yīng)建立一套適合自身組織體系的應(yīng)急響應(yīng)預(yù)案，并有計劃的進行演練和改進;實時監(jiān)控，確保第一時間解決企業(yè)遇到的信息安全問題。

道普網(wǎng)特設(shè)“信息安全，需要360度的立體體系防護”專題，內(nèi)容包括信息安全管理體系、信息安全技術(shù)體系、信息安全運維體系等內(nèi)容，全面剖析企業(yè)信息安全體系的建設(shè)之道。具體內(nèi)容請點擊鏈接閱讀 http://www.topcio.cn/Special/ITsecuritysystem/