五種技巧助企業(yè)規(guī)避信息化安全風(fēng)險(xiǎn)

責(zé)任編輯:楊傳波

2013-09-11 10:08:58

摘自:中關(guān)村在線

由于數(shù)據(jù)安全和數(shù)據(jù)保護(hù)的方式方法的不同,很容易導(dǎo)致不同企業(yè)遵從的法規(guī)和標(biāo)準(zhǔn)不同,進(jìn)而導(dǎo)致企業(yè)遭受數(shù)據(jù)泄漏和安全威脅。

由于數(shù)據(jù)安全和數(shù)據(jù)保護(hù)的方式方法的不同,很容易導(dǎo)致不同企業(yè)遵從的法規(guī)和標(biāo)準(zhǔn)不同,進(jìn)而導(dǎo)致企業(yè)遭受數(shù)據(jù)泄漏和安全威脅。通過(guò)創(chuàng)建風(fēng)險(xiǎn)管理,IT管理的規(guī)則和流程,可以有效的防止企業(yè)遭受數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。

但是創(chuàng)建風(fēng)險(xiǎn)管理的規(guī)則和流程的任務(wù)是十分艱巨的,不同的企業(yè)喜歡采取的管理方式也不盡相同。有的企業(yè)喜歡通過(guò)單點(diǎn)的解決方案為每一個(gè)項(xiàng)目提供安全防護(hù),但這非常容易造成工作的重復(fù)和預(yù)算的超支。

與此同時(shí),企業(yè)發(fā)現(xiàn)數(shù)據(jù)泄漏的平均時(shí)間也在延長(zhǎng),先進(jìn)的網(wǎng)絡(luò)攻擊已經(jīng)超越了黑客的間諜活動(dòng),開始針對(duì)知識(shí)產(chǎn)權(quán)和內(nèi)幕信息進(jìn)行金錢的收益。更不幸的是這些網(wǎng)絡(luò)攻擊針對(duì)的企業(yè)和組織,不僅包括政府,軍工企業(yè),還包括一些"高調(diào)"的公司。很多時(shí)候,這些企業(yè)和組織因?yàn)槿狈Ρ匾木W(wǎng)絡(luò)安全工具,經(jīng)常被黑客關(guān)顧。

因此,合規(guī)性是企業(yè)運(yùn)行良好風(fēng)險(xiǎn)管理計(jì)劃的前提。Gartner研究機(jī)構(gòu)總監(jiān)曾經(jīng)表示,CIO必須在進(jìn)行業(yè)務(wù)決策前,積極的應(yīng)對(duì)各種未知的風(fēng)險(xiǎn)和威脅。企業(yè)的CIO可以考慮用以下方法來(lái)規(guī)避風(fēng)險(xiǎn):

第一,統(tǒng)一組織結(jié)構(gòu),減少錯(cuò)誤評(píng)估風(fēng)險(xiǎn)

IT安全是企業(yè)戰(zhàn)略和經(jīng)營(yíng)目標(biāo)的一個(gè)重要組成部分。通過(guò)定義關(guān)鍵步驟,建立一個(gè)統(tǒng)一的組織結(jié)構(gòu),以盡量減少由于錯(cuò)誤評(píng)估風(fēng)險(xiǎn)和控制計(jì)算錯(cuò)誤。同時(shí),通過(guò)整合項(xiàng)目資源,從不同的領(lǐng)域,包括最終用戶和利益相關(guān)者,特別是獲得高層管理人員的支持。在進(jìn)行風(fēng)險(xiǎn)評(píng)估的過(guò)程中,盡可能多的與利益相關(guān)者進(jìn)行溝通。

第二,保證通暢的交流,獲取評(píng)估信息

保證通暢的交流,可以有效的創(chuàng)造和交流設(shè)施政策。此外,風(fēng)險(xiǎn)和法規(guī)的遵從對(duì)用戶是友好和有益的。例如,通過(guò)使用基于度量的業(yè)務(wù)語(yǔ)言,為GRC(行政管理、風(fēng)險(xiǎn)管理、法規(guī)遵從)評(píng)估提供有益信息。

第三,確定一個(gè)計(jì)劃的目標(biāo)和指標(biāo)

企業(yè)的IT環(huán)境對(duì)當(dāng)期和未來(lái)GRC有很大影響,需要組織審查現(xiàn)有的流程和政策,識(shí)別關(guān)鍵風(fēng)險(xiǎn),資產(chǎn)差距,以及建立IT風(fēng)險(xiǎn)與合規(guī)指標(biāo)。指標(biāo)可以用來(lái)定義當(dāng)前的安全與合規(guī)水平,還有未來(lái)理想的狀態(tài),使IT與該組織的其余部分都能獲得安全技術(shù)部署,流程管控。

第四,具有實(shí)用和成本效益的改善計(jì)劃

風(fēng)險(xiǎn)評(píng)估和分析后,通過(guò)設(shè)置GRC的優(yōu)先級(jí)來(lái)實(shí)現(xiàn)近期和長(zhǎng)期目標(biāo)。成本效益和戰(zhàn)略風(fēng)險(xiǎn)評(píng)估可以幫助組織優(yōu)先考慮固有風(fēng)險(xiǎn)的基礎(chǔ)上,確定最有效的基于風(fēng)險(xiǎn)的結(jié)果,控制和項(xiàng)目實(shí)施前的投資回報(bào)。通過(guò)一個(gè)全面核心業(yè)務(wù)流程,使組織制定或修改現(xiàn)行政策、程序、標(biāo)準(zhǔn),并確定現(xiàn)有的控件和框架的可重復(fù)使用,以符合新的任務(wù)。此外,通過(guò)不斷對(duì)未來(lái)的規(guī)劃,可以達(dá)到一定的安全目標(biāo)。

第五,簡(jiǎn)化風(fēng)險(xiǎn)和控制

為了減輕不必要的控制和測(cè)試的開支,GRC的團(tuán)隊(duì)需要對(duì)許多風(fēng)險(xiǎn)和控制之間的關(guān)系進(jìn)行梳理。風(fēng)險(xiǎn)評(píng)估的定義是多個(gè)法規(guī)風(fēng)險(xiǎn)和控制共享的獨(dú)特屬性。通過(guò)減少重復(fù)的控制,識(shí)別控制依賴,鏈接之間的多層次結(jié)構(gòu)風(fēng)險(xiǎn),通過(guò)不同的進(jìn)程之間共享信息,來(lái)控制GRC流程,確定標(biāo)準(zhǔn)化的實(shí)踐。

通過(guò)以上措施,可以自動(dòng)為GRC審計(jì)組織中的所有利益相關(guān)者提供工作流程。利益相關(guān)者可以查看的威脅和應(yīng)用漏洞來(lái)進(jìn)行業(yè)務(wù)評(píng)估,并優(yōu)先響應(yīng),將任務(wù)分配給個(gè)人或團(tuán)隊(duì),或者跨團(tuán)隊(duì),跨業(yè)務(wù)線和跨地域的進(jìn)行風(fēng)險(xiǎn)和法規(guī)遵從。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)