「资讯安全政策」是企业内各种资讯安全活动的重要参考点,包括建立应用系统的控制程序、设定用户存取控制的权限,组成风险分析模型、资讯安全规定的训练、及建置电脑犯罪的稽核体系等等。
有些人以为资讯安全是「人」的问题,有些人则说是科技问题。从企业管理的角度来看,二者都对。但是在从事资讯安全工作之前,管理阶层必须全面参予,才能达成这项任务。所以资讯安全基本上是一个管理问题;说得更精确一点,高阶主管的全力支持,才是资讯安全能否成功的关键因素。没有他们的支持,就不会有足够的预算,也就没有人会去注意;而预算不足就无法大力改革管制措施,同时容易产生许多原先可避免的系统漏洞,进而提供骇客更多入侵的机会,造成企业无可弥补的损失。
想要让高层主管支持资讯安全措施,而且让他们注意到这个问题,进而亲身参与,最好的方式就是制订资讯安全政策。资讯安全政策当然需要经过高层主管的检讨、批准。事实上,这些主管最初之所以会参与资讯安全的事务,常常是因为需要制订政策的关系。
...
...
另一名雇主 |
限られたニュース |
文章閱讀限制 |
出版品優惠 |
一般訪客 |
10/ごとに 30 日間 |
5//ごとに 30 日間 |
付费下载 |
VIP会员 |
无限制 |
20/ごとに 30 日間 |
付费下载 |