信息安全计划是企业为了保障信息安全而必须监管的一套控制机制。其内容主要包括企业为保护重要数据资产需要采取的安全策略和过程。信息安全计划应当有一套有效的步骤。本文讨论改善此过程的七个步骤。
制定或获得安全计划
很多中小型企业并没有一套安全计划,即使有,往往也是一纸空文。
制定一套信息安全计划有助于企业将重点放在需要保护的资产和安全风险上,同时也会引导企业采取减轻风险的措施。
其实,通过互联网就可以找到许多通用的信息安全管理计划,以这种信息安全管理计划作为开端还是很不错的。但企业应当使自己的安全计划具有业务针对性,针对特定的需要和操作。
让雇员成为信息安全管理过程的一部分
雇员越多地参与到信息安全的管理过程,企业信息安全管理成功的可能性就越大。让员工成为查找风险和应对措施的一分子,投入到整个过程和计划中。
信息安全管理过程应当教育企业中的每一个人。
还有重要的一点,让每个人都为可授受的使用策略出谋划策,并且每年都要签定安全策略协议。
要激励员工严格遵循计划,并鼓励他们提出必要的计划修改建议。
进行业务影响评估
企业需要执行业务影响评估,其目的是确认对企业的关键运营生死攸关的应用程序、数据和系统。
制定或改善信息安全管理计划的最佳方法是确保它有所依据。毕竟,设计安全计划的目的是为了保护人员、资产、数据等。
企业还应当确认机密数据及其位置,确认其接收、存储、传输和访问的方式。然后,设法保护机密数据,借助实用、适当的安全方法来满足业务需求。
为灾难做好规划
灾难恢复计划对于企业的功能正如氧气对于人的作用一样。企业需要问一下,如果业务停顿了,是否会丧失收入和客户以及未来的收入,是否会丧失声誉,是否存在需要满足的规范和要求?
如果企业对上述问题的回答是肯定的,它就需要一个灾难恢复计划。那么灾难恢复计划应当包含哪些呢?
简单来说,该计划保护的范围应当包括你的人员、关键信息和系统。业务影响评估有助于企业确认暴露程度并确定目标,有助于确保正确地保护机密数据。
接下来的问题是平衡成本。例如,如果数据泄露的成本是20000元,你不会花600000元来防止其发生,但是如果把这两个数字反过来,这种投资就值得了。
反复培训
企业应当就安全策略、基本信息安全、社交工程攻击的识别和避免等方面对雇员进行培训。培训内容最好结合鲜活的例子,切忌空话连篇。此外,向雇员提供关于互联网、社交媒体、可移动设备的安全使用的相关信息相当重要。
就员工正在使用的技术进行培训,用以支持企业的具体环境,更要培训技术方面的安全措施。人身上不可能存在一个可以防止犯错的防火墙,但能够代替这种防火墙的最佳选择应当是人的知识和信心。
评估和监视
企业应通过评估衡量自己的安全计划。应当在被要求审计之前就自己执行审计,以便于找到已经建立的控制中的漏洞,从而不断地改善自己的计划。
必须监视企业使用的数据及保管此数据的系统,确保其不会受到意外变化的破坏。还要监视用户,确保其遵循企业已经建立的安全规则及认证过程中不存在漏洞。必须监视事件,确保自己可以管理一个高效的事件响应过程。
为未来的变更进行规划
小型企业趋于动态变化,而且将要采用或将要进入安全计划的任何东西也应当是动态的。随着企业需要和过程的变更,也需要对计划进行检查和调整。总体而言,应将安全计划看作是企业成长发展的一种鲜活的不断演变的要素。