前段時間,有客戶問我們技術人員,我已經買了市場上最新的安全解決方案,也已經投入了大量的資金購買了安全防護設備,但是現在還是沒有解決安全問題,這是爲什麼?其實,很多人有這樣的想法,在這裏,山東省軟件評測中心的技術人員總結了部分企業在信息安全方面經常遇到的問題,希望能給大家帶來幫助。
以下是企業在信息安全方面經常遇到的問題:
一、您是否認爲採取了市場上最新的安全解決方案,或是投入大量的資金購買了安全防護設備,就可以有效的解決企業的信息安全問題?
答案應該是否定的。一個優秀的信息安全解決方案應該是針對企業的實際情況進行分析、設計、實施和維護,而且這樣的系統也會隨着新情況的出現不斷髮展。要制定一個適合公司實際的安全解決方案,必須根據公司的商業目標和營銷策略來制定具體細節。公司的管理部門必須對信息安全問題及其對公司和客戶的影響有足夠的認識,從而他們才能爲整個解決方案的制訂提供合適的資源、資金以及充足的時間。換句話說,信息安全的實施應當由上至下。然而,實際情況並非如此。組織機構往往將工作重心放在新建的防火牆、***檢測系統和防病毒軟件上,一旦採取全部或其中一項安全措施,從IT部門到管理層就都會覺得高枕無憂。簡單的追求市場上最新安全解決方案或使用大量資金購買安全防護設備往往是不可取的。在很多公司內,安全事務往往全部由IT部門負責,而IT人員卻經常忙於處理日常出現的各種情況,根本沒有充足的精力制定一個合理的安全方案。安全以一種反應式、自下而上的方式實現,這將顯著降低其效力。
很多企業,甚至大型知名企業,上了很多技術和產品,有的企業甚至也建立了很多安全管理制度,甚至做了信息安全管理體系並通過了認證,投入了很多財力人力,但整體信息安全管理水平並沒有明顯提升,信息安全問題還是層出不窮。根源在於這些企業都存在着一個普遍的問題:相關的管理跟不上,如設備上線了,運行很久了,還存在着很多默認配置、設備的相關策略不完備、長時間不評審不更新、離職人員帳戶仍然存在、制度不執行或執行不到位、不徹底。這些問題不能很好地解決,即使有再好的產品、技術或標準,企業的信息安全管理水平也很難從根本上有所提高,上再好的產品、技術和標準最多是升級一下IT救火隊的裝備水平。在信息安全方面,一定要重視“三分技術,七分管理”這一原則,要向管理要安全,技術只是幫助實現管理的手段。
二、您在信息安全建設項目中是否遇到過由於缺少項目的風險管理控制,導致在項目實施過程中出現信息安全事件?或者由於缺少項目的質量控制,導致項目實施效果與預期相差較大的問題?
企業在進行信息化建設項目時,大多缺少專業的信息安全從業人員。導致在企業信息安全項目管理過程中,缺乏專業的控制。而目前大多數企業還沒有重視信息化項目的項目管理工作,尤其是信息安全建設項目。由於信息安全建設項目的特殊性,其對項目的風險管理要求較高,不能由於新建系統引入新的安全風險,或在建設過程中由於誤操作導致信息安全事故。同時,對於信息安全項目建設完成後,是否符合預期目的,難有很好的評估。導致項目往往與預期有差距,從而造成即使投入大量的資金,也沒有很好的解決信息安全問題。所以,在項目中採取專業的信息安全項目管理,注重項目的風險管理與質量控制,才能使得新項目的建設儘量避免信息安全事故的發生,並且保證項目按照既定的方向實現最終目的。
三、您是否瞭解信息安全項目建設完成後是否符合您的既定目標,或者是否符合國家相關標準要求,是否瞭解目前企業存在的信息安全風險已經降低到可以接受的程度呢?
信息化項目建設完成後,用戶往往不瞭解自身的建設項目是否符合國家相關標準要求,或是是否將安全風險降低到可以接受的程度。
四、企業的信息安全工作往往由IT部門全部負責,然而,IT部門是否有足夠的精力去保障業務信息系統的安全穩定運行呢?
在很多公司內部,往往將整個公司的信息安全建設交給一個小小的IT部門,對他們來說負擔太大。在很多情況下,新IT員工面對的系統環境是由另一羣人在很多年前建立的。這樣的系統環境不可能一成不變,新的組件不斷添加。IT人員經常忙於處理日常出現的各種情況,根本沒有充足的精力負責整個信息系統的安全運維,有用的文檔相對缺乏,而且無人全面瞭解整個網絡的工作方式,因此他們無法保證網絡結構始終是最新的。這意味着:在出現問題時,IT員工80%的時間和經理將會在瘋狂尋找解決方案的過程中被浪費。IT部門應當從信息安全的角度出發,爲公司制定一個合理的工作流程,管理部門應當制定信息安全運維的框架,並指派專人負責完善運維體系。