、减少威胁、降低风险,所以针对重大风险项目,必须设计适当控制措施。例如有实体的信息资产(如计算机主机),可以放置在设有安全系统的机房内,如此资产弱点就会比较不明显,而计算机主机遭窃或遭到恶意破坏的威胁也会减轻,其他控制措施还有像安装网络防火墙,防毒软件,不断电系统,或是加强信息安全教育训练等。
然而所谓控制措施只是针对个别信息资产或风险项目,而不是企业整体风险,因此在设置控制措施时除了考虑成本效益,还要顾及彼此的关联性及互补性,以英国建立的国际信息安全标准为例,完整的信息安全架构(Information Security Management Structure,ISMS)包含十个项目,详细内容请参考BS7799发行的资料:
*信息安全政策
*信息安全组织
*信息资产分类与控管
*人员安全
*设备与环境的控管
*通讯与作业程序控管
*系统发展与维护控管
*存取控管
*企业永续经营管理
*遵循控管
在这个管理架构中,我们可以看到许多并不是针对特定资产或风险的控管项目,但是对于企业整体信息安全有很大影响,如管理层对于信息安全的看法及态度,外来单位存取组织内信息处理设施时的安全管理,委外加工处理时相关信息的安全管理,降低人为错误,偷窃,欺骗或设备误用的风险等,此外整个架构还强调企业必须思考如何在发生重大系统失效或人为疏失时,不会因此中断企业活动,且能保护企业关键流程持续运作,除了将损害降至最小外,在事后还能从中学习并监督以后类似事件是否发生,另一方面还要顾及避免触犯任何刑事或民事法和已成文的规范,合约义务及信息要求等。
建立信息安全体系
根据BS7799方法论,整个信息安全体系的建立可以分为六个步骤:
* 定义信息安全政策
* 定义信息安全体系范围
* 执行风险评估程序
* 决定风险可接受水平
* 选择与设计控制措施
* 提出适用性声明
项目经理胜任力免费测评PMQ上线啦!快来测测你排多少名吧~
http://www.leadge.com/pmqhd/index.html
