普華永道冼嘉樂:為企業(yè)安全開出實施良方

責任編輯:editor004

作者:盧敏

2015-01-16 11:04:43

摘自:賽迪網(wǎng)

對于信息安全的重要性,我們已經(jīng)無需再次強調(diào)。有了這五大業(yè)務步驟,企業(yè)的安全戰(zhàn)略就有了實施指南,冼嘉樂表示,這五大步驟同樣適用于中國的廣大中小企業(yè)。

對于信息安全的重要性,我們已經(jīng)無需再次強調(diào)。雖然得到了企業(yè)用戶的高度重視,調(diào)查數(shù)據(jù)還是再次為我們敲響了警鐘,2014年在中國大陸與香港地區(qū),檢測到的網(wǎng)絡(luò)犯罪事件導致企業(yè)平均財務順勢 增至240萬美元,同比2013年增長33%,而全球這一數(shù)值為270萬美元,增長34%。

安全,與戰(zhàn)略同行

針對這一現(xiàn)狀,很多企業(yè)已經(jīng)開始有意識地關(guān)注公司的信息是否安全,盡管許多中國大陸與香港受訪者表示他們目前擁有信息安全保護政策,但信息安全策略/愿景缺失成為開展信息安全工作的最主要障礙之一,針對這種現(xiàn)狀,普華永道中國網(wǎng)絡(luò)安全服務合伙人冼嘉樂提出了企業(yè)邁向戰(zhàn)略性安全管控體系的五個步驟。

圖說:冼嘉樂,普華永道中國網(wǎng)絡(luò)安全服務合伙人

  圖說:冼嘉樂,普華永道中國網(wǎng)絡(luò)安全服務合伙人

第一,確保信息安全的管控策略與商業(yè)目標一致,并使自身成為戰(zhàn)略投資。第二,識別最具價值的信息資產(chǎn),并優(yōu)先保護高價值數(shù)據(jù),第三,是為了減少對各類攻擊的響應時間,請充分了解您的對手,包括他們的動機,可能會利用的資源,以及他們會使用的攻擊方式等等。第四,評估第三方與供應鏈合作伙伴的信息安全狀況,以確保第三方也同樣符合企業(yè)要求的安全策略及最佳實踐。第五,積極參與多方合作,提高企業(yè)對網(wǎng)絡(luò)安全威脅與應對的意識。

有了這五大業(yè)務步驟,企業(yè)的安全戰(zhàn)略就有了實施指南,冼嘉樂表示,這五大步驟同樣適用于中國的廣大中小企業(yè)。簡單的說,信息安全的基本目的是為了保護業(yè)務活動,如果信息安全影響了業(yè)務的發(fā)展與正?;顒?,那么這樣的信息安全應該被重新審視與評價,如何平衡信息安全與業(yè)務發(fā)展的關(guān)系呢?步驟一就很好地解決了這個問題,因此不論企業(yè)規(guī)模大小,信息安全工作的第一項任務或者說第一個出發(fā)點就是為了商業(yè)目標的實現(xiàn)。具體到中小企業(yè),他們往往處于業(yè)務發(fā)展期,每一筆花費都需要更加精打細算,在信息安全方面的投資是否能保護商業(yè)活動以及商業(yè)利益顯得更加珍貴。

安全步驟“動”起來

對于這五大安全步驟的實施方式,賽迪網(wǎng)記者專門咨詢了冼嘉樂。冼嘉樂表示,這五個步驟不是嚴格意義上的相互依存的順序關(guān)系,他們更類似于日常信息安全工作的指導原則與關(guān)注點,所以需要結(jié)合企業(yè)的實際情況進行定制化的分析,有重點有針對性地“動態(tài)”進行工作。普通企業(yè)一般的信息安全工作,可以劃分為幾個階段不斷循環(huán)。

首先是風險識別與評估,全面認識目前企業(yè)所面臨的信息安全風險,并進行風險高低與優(yōu)先級排序。其次是制定并實施信息安全風險管控解決方案,找出問題的解決辦法與順序關(guān)系。再次是信息安全管控監(jiān)督,確保信息安全的解決方案發(fā)揮應有的作用。最后是持續(xù)改進,不斷發(fā)現(xiàn)新的問題并不斷改進,使信息安全管控工作處于動態(tài)持續(xù)提升的環(huán)境,可以看到,通過風險評估的工作后造出薄弱環(huán)節(jié)做到有的放矢,通過管控監(jiān)督的活動,衡量信息安全的落地執(zhí)行情況與效果,而且這是一個動態(tài)的過程,可以理解為螺旋式上升。

而從國際國內(nèi)來說,也有不少相關(guān)的標志、框架可以作為這些步驟的參考,如ISO27000、ISO20000、NIST-SP800、SSE-CMM、ISO15408、COBIT等等,不過冼嘉樂也強調(diào),這些都是通用性的標志,每個企業(yè)在實際使用過程中需要結(jié)合自身情況,不可生搬硬套。

安全,如何面對大數(shù)據(jù)、互聯(lián)網(wǎng)

針對企業(yè)客戶比較關(guān)注的大數(shù)據(jù)、云計算以及互聯(lián)網(wǎng)安全,冼嘉樂表示,應該謹慎選擇合理的技術(shù)方案,并且了解內(nèi)外有別,合理對信息資產(chǎn)進行分類分級,這樣才能對信息進行分級安全保護。此外信息安全不應僅僅是事后的要求,在業(yè)務開展與技術(shù)應用之初就應該把信息安全作為一個要素考慮和評估。不僅如此,企業(yè)高管還需要平衡業(yè)務與安全的關(guān)系與戰(zhàn)略一致性問題,對企業(yè)信息安全評估、監(jiān)控與管控進行一個動態(tài)的管理。

最后,冼嘉樂還談到了國內(nèi)外安全策略的異同點。由于國內(nèi)外企業(yè)的業(yè)務環(huán)境和企業(yè)信息安全建設(shè)階段不同,具體的執(zhí)行策略會有寫差別,例如國外企業(yè)對信息安全的重視程度普遍比較高,已經(jīng)開展多年的信息安全管控建設(shè),“硬”環(huán)境相對比較完善,如設(shè)備部署、流程體系建設(shè)等;目前更加重視“軟”環(huán)境,如人員意識、內(nèi)外部欺詐的預防、信息安全合作等等。國內(nèi)的信息安全還處于起步階段,因此基礎(chǔ)設(shè)施的建設(shè)還處于比較重要和高投入階段,更加重視企業(yè)信息安全解決方案的部署、使用以及信息安全管控體系的建設(shè),但是發(fā)展速度非???,一些先進企業(yè)和大型機構(gòu)和國外信息安全管控的水平相差不大。

相信有了這些安全良方,企業(yè)安全之路會越走越順。

附簡歷:

冼嘉樂,普華永道中國網(wǎng)絡(luò)安全服務合伙人

從業(yè)22 余年,為中國大陸、香港和美國眾多知名企業(yè)提供信息系統(tǒng)管理相關(guān)服務,工作涉及信息安全、IT風險管理和國有企業(yè)、上市公司以及外企在華的IT審計服務等方面,在金融業(yè)、通信科技信息技術(shù)

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號