虽然企业的组织构成与条件各异,但基本的策略构成应该是相同的。首先,有必要确认下述事实:企业有什么信息资产、针对这些资产可能会发生什么危机、引发这些危机的威胁是什么、产生这些威胁的脆弱点在什么地方。对于一个企业或组织来说,在持续地采取应付风险的法律措施及保险保护措施等危机防范的同时,更要制订一旦危险出现时的紧急应变计划和早期恢复计划并保持危机管理的持续性。
下面将根据危机对策行动图来详细阐述具体措施。
信息安全的维护是一个持续的过程,决不能因为实施结束而完事大吉。这其中最关键的就是针对接连不断地发生的威胁,不断地采取最合适的方式来处理的管理运营的持续。维持持久的安全必须采取循环的对策措施。
1.制订策略图
安全策略是整个行动循环的出发点,即安全对策的核心。
根据企业组织的理念并融合公司的经营方针和规章制度,在制订以后必须做到所有部门都严格遵守。
2.体制建设安全策略既然是所有公司员工都必须遵守的公司法律,就必须公布、加强员工教育和确立使其能长期执行贯彻的体制。
3.指导方针的确立制订
密码的运用、电子邮件、病毒对策等具体的实施手册。根据这些手册来检讨各种安全软硬件的选择与使用。
4.运营、监视、处理
对于采取了安全管理方式的网络系统,应更加注重其日常安全信息的搜集、个别安全问题的应对、网络管理、系统管理、故障处理的系统的运营和维护。
5.监察、诊断、评估
在进行这一系列的维护网络安全的措施时,非常重要的是必须定期的对其是否按照安全策略的规定正确执行进行监察、诊断、评价,从而通过对实际操作的分析来确认安全策略的成本是否过高、实际用户的负担是否过重、访问控制的标准是否过严而导致使用效率的降低、实际执行过程中是否现实从而对安全措施重新考核以修正其不合理的地方。通过这种Plan->Do->Check->Action地持续的循环过程才能逐渐形成一套更为合理、有效的安全策略。
针对一个企业实施信息安全工程,必须从企业人员、运营流程和技术手段三个方面着手进行。从人员的角度来讲,首先必须明确企业的信息资产、风险要素的评估和管理的具体目标;在这个基础之上,必须在公司文化的立场上加强整体安全防范意识;而安全策略一旦制定必需严格遵守,并在实际执行过程当中针对出现的问题,适当调整企业制定的安全策略;由于安全措施不是一个一蹴而就的事情,它需要持续不断的对员工进行网络安全教育与日常指导,和对网络安全策略的强化与执行监督。从业务流程来讲,为了使网络安全工作能够配合公司信息系统的正常运转,并达到良好的效果,公司应该建立专门的信息安全部门,对信息系统进行评估,确定最佳的操作流程和关键性能指标。在此基础上,实施网络安全技术与方案,并随时监测关键性能指标以及时调整相关的网络安全措施。从技术上讲,明确系统管理人员的责任与范围,评估系统弱点与漏洞、跟踪网络安全的最新进展和变化,从而及时调整安全策略和制定新的安全标准;并且针对突发的安全事件,必须有相应的应急手段以将损失降到最低点。
因此,为了不使安全保障陷入就事论事或拆东墙补西墙的低效状态,严格按照行动纲领的框架脚踏实地地推行的态度就成为最重要的要素。因此,越是脚踏实地的企业,它的安全度也就越高,因而就越能获得社会的高度评价。