当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 建立企业的信息安全体系的流程

安全基础
IE浏览器防黑十大秘籍,黑客也没招
网络工程师讲解系统安全漏洞的形成和防治
清除导致XP系统反复重启的新网银木马
识破QQ欺骗网络地址的几种方法汇总
安全基础知识 细说暴库的原理与方法
排除无线突然中断故障实例
强搜天线 搜出WiFi世界的安全漏洞
网管应用技巧 内网安全十大策略说明
如何修改局域网内部打印机的IP地址
如何找出IIS中隐藏的网站
EFS加密技术的概念分析及一次解密经过
提高Windows XP系统安全性要关闭的10种服务
PHPBB 2.0.22 MOD版最新注入漏洞
修复Windows系统忘记密码的9个高招
用SockOnline软件轻松突破端口限制
安全基础知识 最强0到33600端口详解
执行文件方式加密FLASH文件的解密方法
网吧被入侵后的应对解决方法
网页“黑手”如何攻击你的Windows系统
不要让别人读了你的信 谈私密数据保护

安全基础 中的 建立企业的信息安全体系的流程


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-19   浏览: 97 ::
收藏到网摘: n/a

  一个企业如果需要建立信息安全体系架构,一般的流程如下:

  1、分析企业的信息安全目标,即企业在未来的3-5年的安全目标是什么?在信息安全方面达到什么样的程度?

  2、有了安全目标之后,下一步我们要做的就是分析企业目前的安全现状,此阶段一般通过风险评估等方式来实现,可选的方式有风险评估、安全审计、渗透测试等。

  3、分析了安全现状,我们接下来要做的就是分析安全目标和安全现状之间的差距,目标有了,现状也清楚了,差距自然而然也就出来了。差距分析阶段主要是分析企业目前的安全现状和目标之间还存在哪些薄弱点,并一一列举出来,差距分析主要从组织安全、人员安全、访问控制、物理安全、安全事件、业务连续性等方面来展开。

  4、在我们得到差距之后,我们就要为企业设计安全体系架构了,一套完整的信息安全体系架构,应包括技术体系架构和管理体系架构,技术体系架构主要是指从网络、系统层面来设计,譬如分析企业目前的网络架构是否合理?产品的部署是否到位?而管理体系架构主要是指信息安全的制度建设,俗话说“无规矩不成方圆”,安全问题归根结底就是管理的问题,很多安全事件的发生都是因为管理不到位而产生的。譬如弱口令,如果企业的安全制度里有明确的要求,密码为6位,并应包括数字、字母、特殊字符等,这样完全是可以避免弱口令的现象,再譬如补丁更新不及时、ACL 做的不够等等诸如此类的问题,很大程度都是因为管理不到位。在我们的评估项目中,我们发现很多时候并不是技术上不可达,而是管理意识不到位。这里出现的比较多的是企业的高层领导的安全意识薄弱,对安全这一块基本没什么概念,对于管理员或安全部门提出的安全建议认为没有必要等等。很多安全的措施在很多企业都会出现实施难的问题,因为安全措施在很大程度上会给员工造成不便,员工都会出现抵触的情绪,在这种情况下,就需要公司的高层通过管理制度来推行安全措施,所以又归结到管理的问题上来。

  对于企业来说,如上的这些现象一般出现在中小型企业,这些企业的资金比较缺乏,在公司没有出现大的安全事件的时候,公司高层一般是不考虑在安全方面加大投资的,而在大型企业,随着规模的不断壮大,网络已经成为这些企业不可缺少的部分,如果一旦出现安全事件,将会给企业造成严重的损失,如客户资料丢失、财务数据泄密、企业形象受损等等,而大型企业的资金也比较雄厚,在安全方面的投资也就相对较多了。

  另外我们在设计信息安全体系架构时,应充分结合企业目前的安全现状和相关法律法规的要求,并应考虑企业的运营成本等问题,最后需要考虑就是信息安全体系架构设计的可执行性了,不能出现一套体系出来之后,发现根本没有联系企业目前的安全现状,方案的可执行性太差等问题。

  5、在我们建立了信息安全体系架构之后,最后的阶段就是实施了。在实施中,还是需要企业高层的大力支持,才能顺利进行,因为信息安全体系架构的实施和运行,比如会跨越不同的部门,在部门与部门的协调上,就需要上层领导的协调了。

  6、最后阶段就是 Check,信息安全体系架构应遵循 PDCA 的模型。我们应及时跟踪分析信息安全体系的建设情况,查漏补缺,及时发现不足和存在的问题,在后期的运行维护中及时修正。