帳號:
密碼:
最新動態
產業快訊
CTIMES / 文章 /
建構完整資訊安全架構應從了解資訊安全政策著手
 

【作者: 朱保全】   2001年08月01日 星期三

瀏覽人次:【3069】

「資訊安全政策」是企業內各種資訊安全活動的重要參考點,包括建立應用系統的控制程序、設定用戶存取控制的權限,組成風險分析模型、資訊安全規定的訓練、及建置電腦犯罪的稽核體系等等。


有些人以為資訊安全是「人」的問題,有些人則說是科技問題。從企業管理的角度來看,二者都對。但是在從事資訊安全工作之前,管理階層必須全面參予,才能達成這項任務。所以資訊安全基本上是一個管理問題;說得更精確一點,高階主管的全力支持,才是資訊安全能否成功的關鍵因素。沒有他們的支持,就不會有足夠的預算,也就沒有人會去注意;而預算不足就無法大力改革管制措施,同時容易產生許多原先可避免的系統漏洞,進而提供駭客更多入侵的機會,造成企業無可彌補的損失。


想要讓高層主管支持資訊安全措施,而且讓他們注意到這個問題,進而親身參與,最好的方式就是制訂資訊安全政策。資訊安全政策當然需要經過高層主管的檢討、批准。事實上,這些主管最初之所以會參與資訊安全的事務,常常是因為需要制訂政策的關係。


無論企業規模大小及行業為何,或者電腦化的程度多徹底,都應該提出一套明晰的政策,處理資訊安全的議題。IBM前資料安全計畫主任Harry DeMaio便認為,一個含糊籠統的資訊安全政策,是大部分企業資訊安全工作最大的弱點。


由英國標準協會( BSI )制定的 BS7799,它廣泛地涵蓋了所有的安全議題,可以適用於各種產業與組織,是一個非常詳盡甚至有些複雜的資訊安全標準。包含了所有面向的最先進企業資訊安全管理,從安全政策的擬定、安全責任的歸屬、風險的評估、到定義與強化安全參數及存取控制,甚至包含防毒的相關的策略等。


然而在企業內「資訊安全政策」制定後,仍需適當的宣導及持續的教育訓練。一來可以大幅減少資訊安全問題造成的損失,另一方面也可以加速新系統的開發速度,節省開發成本;更重要的是,執行該政策能讓企業的資訊系統控制與存取一致,避免發生因人制事的情形。


我們認為,一個有效的資訊安全政策,絕非拿別人的東西一字不改,就直接要主管蓋橡皮章通過實施。而是要因應每一個組織的需要,設計出適合該組織的資訊安全政策。因為每家公司的狀況不一樣,使得影響資訊安全政策的因素南轅北轍。這些因素包括經營目標、法律需求,企業組織架構、企業文化、企業倫理、企業精神、企業同仁教育及接受程度,和公司目前的技術水平。


「資訊安全政策」對於企業的影響既深且廣,為了讓企業能充分、安全地享受資訊所帶來的便利,高層主管支持、適當的宣導及持續的教育訓練皆是落實資訊安全工作不可或缺的重要環節。


  相關新聞
» 施耐德電機響應星展銀行ESG Ready Program 為台灣打造減碳行動包
» 台達推出5G ORAN小型基地台 實現智慧工廠整合AI應用
» 歐洲航太技術展在德國盛大展開,全球吸睛 鐳洋推出衛星通訊整合方案,目標搶佔龐大的歐洲衛星商機
» 經濟部促成3GPP大會來台爭話語權 大廠共商5G/6G技術標準
» 經濟部支持跨國研發有成 台歐雙方分享B5G~6G規劃


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 遠播資訊股份有限公司版權所有 Powered by O3  v3.20.2048.52.15.92.58
地址:台北數位產業園區(digiBlock Taipei) 103台北市大同區承德路三段287-2號A棟204室
電話 (02)2585-5526 #0 轉接至總機 /  E-Mail: webmaster@ctimes.com.tw