行业案例分析

  信息安全文章

二、信息安全构成
由于公司的庞大规模和复杂性，你也许有很多的信息安全政策。但是为了拥有一个有效的信息安全计划，所有的公司不论大小，都必须在以下的基本领域中建立适当的安全政策。

•  帐号管理 --- 这是最重要的政策之一，它规定了在公司内如何为一些关键的系统设定访问权限。控制对公司信息技术资产的逻辑访问是安全计划取得成功的基础。 •  远程访问 --- 许多人员都需要在外出的时候访问电子邮件等系统。远程访问政策就是针对此问题而建立的，它规定了当员工远程访问这些系统时必须采取的保护措施。 •  漏洞管理 --- 这主要是评估系统环境，以发现可被用于攻击的漏洞或后门，例如，使黑客未经授权即可访问系统的软件缺陷或不恰当的配置或设置。这些漏洞中的大多数是已知的，而且也有识别它们的自动化工具，安全人员必须在有人找到并利用这些漏洞之前，把它们全部消除或修补好。 •  可接受的使用政策 --- 必须建立特别的指导原则，定义对系统和数据的恰当使用与不恰当使用。这包括员工对互联网和电子邮件系统的使用方式。

•  安全意思教育 --- 员工们需要了解他们在一个有效的信息安全计划中的作用。大多数员工都愿意关注并遵守公司的安全指导原则，安全人员只需要对他们培训和提醒，以协助他们贯彻这些政策。

•  紧急事情响应 --- 需要建立政策来应对重要的，不可预料的安全问题。因提前制定规划，而不是简单在紧急情况发生时才被动的响应。清晰地定义角色和职责，这将使得你能够从安全事件造成的破坏中快速恢复，而且也能避免业务中断事件引起公关方面的危机、甚至危害到企业的生存。

上一页 下一页