「資訊安全政策」是企業內各種資訊安全活動的重要參考點,包括建立應用系統的控制程序、設定用戶存取控制的權限,組成風險分析模型、資訊安全規定的訓練、及建置電腦犯罪的稽核體系等等。
有些人以為資訊安全是「人」的問題,有些人則說是科技問題。從企業管理的角度來看,二者都對。但是在從事資訊安全工作之前,管理階層必須全面參予,才能達成這項任務。所以資訊安全基本上是一個管理問題;說得更精確一點,高階主管的全力支持,才是資訊安全能否成功的關鍵因素。沒有他們的支持,就不會有足夠的預算,也就沒有人會去注意;而預算不足就無法大力改革管制措施,同時容易產生許多原先可避免的系統漏洞,進而提供駭客更多入侵的機會,造成企業無可彌補的損失。
想要讓高層主管支持資訊安全措施,而且讓他們注意到這個問題,進而親身參與,最好的方式就是制訂資訊安全政策。資訊安全政策當然需要經過高層主管的檢討、批准。事實上,這些主管最初之所以會參與資訊安全的事務,常常是因為需要制訂政策的關係。
...
...
使用者別 |
新聞閱讀限制 |
文章閱讀限制 |
出版品優惠 |
一般訪客 |
10則/每30天 |
5/則/每30天 |
付費下載 |
VIP會員 |
無限制 |
20則/每30天 |
付費下載 |