�、減少威脅���、降低風險��,所以針對重大風險項目���,必須設(shè)計適當控制措施�。例如有實體的信息資產(chǎn)(如計算機主機)���,可以放置在設(shè)有安全系統(tǒng)的機房內(nèi)��,如此資產(chǎn)弱點就會比較不明顯����,而計算機主機遭竊或遭到惡意破壞的威脅也會減輕���,其他控制措施還有像安裝網(wǎng)絡(luò)防火墻�,防毒軟件�����,不斷電系統(tǒng)���,或是加強信息安全教育訓練等�����。
然而所謂控制措施只是針對個別信息資產(chǎn)或風險項目�,而不是企業(yè)整體風險�,因此在設(shè)置控制措施時除了考慮成本效益���,還要顧及彼此的關(guān)聯(lián)性及互補性,以英國建立的國際信息安全標準為例��,完整的信息安全架構(gòu)(Information Security Management Structure,ISMS)包含十個項目����,詳細內(nèi)容請參考BS7799發(fā)行的資料:
*信息安全政策
*信息安全組織
*信息資產(chǎn)分類與控管
*人員安全
*設(shè)備與環(huán)境的控管
*通訊與作業(yè)程序控管
*系統(tǒng)發(fā)展與維護控管
*存取控管
*企業(yè)永續(xù)經(jīng)營管理
*遵循控管
在這個管理架構(gòu)中,我們可以看到許多并不是針對特定資產(chǎn)或風險的控管項目�����,但是對于企業(yè)整體信息安全有很大影響����,如管理層對于信息安全的看法及態(tài)度�,外來單位存取組織內(nèi)信息處理設(shè)施時的安全管理,委外加工處理時相關(guān)信息的安全管理��,降低人為錯誤���,偷竊��,欺騙或設(shè)備誤用的風險等��,此外整個架構(gòu)還強調(diào)企業(yè)必須思考如何在發(fā)生重大系統(tǒng)失效或人為疏失時����,不會因此中斷企業(yè)活動,且能保護企業(yè)關(guān)鍵流程持續(xù)運作����,除了將損害降至最小外,在事后還能從中學習并監(jiān)督以后類似事件是否發(fā)生�����,另一方面還要顧及避免觸犯任何刑事或民事法和已成文的規(guī)范�,合約義務(wù)及信息要求等。
建立信息安全體系
根據(jù)BS7799方法論��,整個信息安全體系的建立可以分為六個步驟:
* 定義信息安全政策
* 定義信息安全體系范圍
* 執(zhí)行風險評估程序
* 決定風險可接受水平
* 選擇與設(shè)計控制措施
* 提出適用性聲明
項目經(jīng)理勝任力免費測評PMQ上線啦�!快來測測你排多少名吧~
http://m.vanceur.cn/pmqhd/index.html
