信息安全是一個(gè)龐大的概念，同時(shí)信息安全管理也是企業(yè)和IT管理的一項(xiàng)重要活動(dòng)。iso27001認(rèn)證標(biāo)準(zhǔn)致力于控制信息的供應(yīng)并且防止未經(jīng)授權(quán)的使用。所有的安全措施最主要的目標(biāo)是要保護(hù)信息的價(jià)值，這種價(jià)值取決于保密性、完整性和可用性三個(gè)重大方面。信息安全管理實(shí)際上是由計(jì)劃、實(shí)施、檢查到改進(jìn)多組成的無(wú)限循環(huán)。

從早期的網(wǎng)絡(luò)訪問(wèn)控制到各種漏洞的封堵、從員工行為管理到桌面管理、從單純的透明加密到融審計(jì)、監(jiān)控、加密于一體的整體信息防泄漏，信息防泄漏走過(guò)了由技術(shù)到產(chǎn)品、由產(chǎn)品到方案、由方案到體系的發(fā)展之路。整體信息防泄漏的理念已經(jīng)被眾多企業(yè)所認(rèn)可，在信息建設(shè)中，如何防止信息泄露，同時(shí)實(shí)現(xiàn)“安全、效率、成本”三者最優(yōu)平衡，成為企業(yè)考慮的首要問(wèn)題。為了給企業(yè)提供全面、整體的防泄漏體系，實(shí)現(xiàn)“安全、效率、成本”三者的最優(yōu)平衡，中軟信泰在總結(jié)逾10年過(guò)萬(wàn)家客戶的服務(wù)經(jīng)驗(yàn)基礎(chǔ)上，最早提出以“整體信息防泄漏”理念為核心的“EISS信息防泄漏三重保護(hù)解決方案”：即企業(yè)進(jìn)行防泄密建設(shè)，應(yīng)從全局的視角出發(fā)，對(duì)安全問(wèn)題進(jìn)行統(tǒng)籌規(guī)劃、統(tǒng)一管理，整合運(yùn)用審計(jì)、權(quán)限管理、透明加密等防泄密功能，根據(jù)涉密程度的輕重，部署力度輕重不一的防護(hù)，有的放矢，在內(nèi)部構(gòu)建起全面、立體化的整體體系。

“棱鏡門”曝光后我國(guó)政府對(duì)信息安全的重視度迅速提高，在制度、法規(guī)等各個(gè)層面強(qiáng)化信息安全要求：制度上，國(guó)家網(wǎng)絡(luò)安全和信息化小組成立，信息安全被拔高到了國(guó)家戰(zhàn)略層面;法規(guī)上，各類政策密集出臺(tái)，特別是2016年11月《中華人民共和國(guó)網(wǎng)絡(luò)安全法》獲得通過(guò)，加大對(duì)企業(yè)信息安全的合規(guī)要求;(2)IDC預(yù)測(cè)2019年全國(guó)信息安全市場(chǎng)的總需求將由2014年的22.40億美元增長(zhǎng)至48.22億美元，CAGR為16.6%。

云計(jì)算模式下的安全模型與傳統(tǒng)的安全模型存在巨大差異，為信息安全廠商帶來(lái)新的需求。

信息資產(chǎn)安全防護(hù)：

信息資產(chǎn)安全是防止信息資產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或使信息被非法的系統(tǒng)辨識(shí)、控制，即確保信息的完整性、可用性、保密性和可控性。信息資產(chǎn)包括文件、數(shù)據(jù)等。信息資產(chǎn)安全包括操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、網(wǎng)絡(luò)安全、病毒防護(hù)、訪問(wèn)控制、加密、鑒別等。

信息資產(chǎn)的安全是企業(yè)信息安全的核心問(wèn)題，信息資產(chǎn)作為企業(yè)的無(wú)形資產(chǎn)，其價(jià)格無(wú)可估量。有些信息還可能決定企業(yè)的生死存亡，所以信息資產(chǎn)的安全防護(hù)是信息技術(shù)部工作的重中之重。結(jié)合集團(tuán)現(xiàn)行的信息管理方式，根本沒(méi)有任何的信息資產(chǎn)安全防護(hù)手段，比如財(cái)務(wù)服務(wù)器由財(cái)務(wù)人員自行管理，一個(gè)人就可以操作財(cái)務(wù)服務(wù)器，而且服務(wù)器都開(kāi)通了遠(yuǎn)程桌面功能，有管理員的帳號(hào)、密碼就可以隨時(shí)在集團(tuán)任何一臺(tái)計(jì)算上登陸服務(wù)器進(jìn)行的操作，這是相當(dāng)致命的，我們只能奢求操作人是可以信任的，否則后果真是不敢想象。

出于以上考慮信息技術(shù)部建議從以下幾點(diǎn)進(jìn)行改進(jìn)：

1、財(cái)務(wù)服務(wù)器應(yīng)共由信息技術(shù)部與財(cái)務(wù)中心共同管理，服務(wù)器的登陸密碼由信息技術(shù)部掌握，金蝶軟件的高級(jí)密碼由財(cái)務(wù)中心掌握，當(dāng)需要操作財(cái)務(wù)服務(wù)器時(shí)，應(yīng)該有財(cái)務(wù)中心總經(jīng)理的審批手續(xù)方能操作服務(wù)器，信息技術(shù)部人員在見(jiàn)到財(cái)務(wù)中心總經(jīng)理的審批手續(xù)后方可與財(cái)務(wù)中心授權(quán)人共同進(jìn)行機(jī)房操作服務(wù)器，同時(shí)應(yīng)該記錄服務(wù)器操作日志，記錄操作過(guò)程，同時(shí)所有財(cái)務(wù)服務(wù)器操作人員與信息技術(shù)部人員都需要簽訂保密協(xié)議。

2、財(cái)務(wù)服務(wù)器必須放置在機(jī)房并且具備上鎖功能的機(jī)柜里，同時(shí)關(guān)閉財(cái)務(wù)服務(wù)器的遠(yuǎn)程桌面功能，每次的操作都需要審批后才能執(zhí)行。

3、每季度對(duì)服務(wù)器的密碼進(jìn)行更換(包括服務(wù)器登陸密碼及金蝶高級(jí)管理密碼)，并由信息技術(shù)部監(jiān)督修改過(guò)程。

4、每周對(duì)服務(wù)器數(shù)據(jù)進(jìn)行備份操作，并做好數(shù)據(jù)備份登記工作，每季度對(duì)所備份數(shù)據(jù)進(jìn)行恢復(fù)性測(cè)試，保證備份數(shù)據(jù)完整性。同時(shí)要進(jìn)行必要的重要數(shù)據(jù)異地備份，強(qiáng)化數(shù)據(jù)的容災(zāi)能力。

5、每周對(duì)服務(wù)器進(jìn)行一次升級(jí)、更新、殺毒操作，保障服務(wù)器不被病毒感染，以起到病毒防護(hù)的目的。

信息安全管理的制度化是整個(gè)網(wǎng)絡(luò)管理信息系統(tǒng)安全的重要保障。嚴(yán)格的安全管理制度、合理的人員配置和明確的安全職責(zé)劃分可以在很大程度上降低其他層次的安全風(fēng)險(xiǎn)。管理層安全包括設(shè)備安全的管理、安全管理制度的制定與貫徹落實(shí)、部門與人員的組織規(guī)則、風(fēng)險(xiǎn)評(píng)估、安全性評(píng)價(jià)等。

當(dāng)前題目：企業(yè)加大信息安全投入，iso27001認(rèn)證需求加速
URL標(biāo)題：http://muchs.cn/hangye/iso/n14381.html

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)