雖然企業的組織構成與條件各異,但基本的策略構成應該是相同的。首先,有必要確認下述事實:企業有什麼信息資產、針對這些資產可能會發生什麼危機、引發這些危機的威脅是什麼、產生這些威脅的脆弱點在什麼地方。對於一個企業或組織來說,在持續地採取應付風險的法律措施及保險保護措施等危機防範的同時,更要制訂一旦危險出現時的緊急應變計劃和早期恢復計劃並保持危機管理的持續性。
下面將根據危機對策行動圖來詳細闡述具體措施。
信息安全的維護是一個持續的過程,決不能因爲實施結束而完事大吉。這其中最關鍵的就是針對接連不斷地發生的威脅,不斷地採取最合適的方式來處理的管理運營的持續。維持持久的安全必須採取循環的對策措施。
1.制訂策略圖
安全策略是整個行動循環的出發點,即安全對策的核心。
根據企業組織的理念並融合公司的經營方針和規章制度,在制訂以後必須做到所有部門都嚴格遵守。
2.體制建設安全策略既然是所有公司員工都必須遵守的公司法律,就必須公佈、加強員工教育和確立使其能長期執行貫徹的體制。
3.指導方針的確立制訂
密碼的運用、電子郵件、病毒對策等具體的實施手冊。根據這些手冊來檢討各種安全軟硬件的選擇與使用。
4.運營、監視、處理
對於採取了安全管理方式的網絡系統,應更加註重其日常安全信息的蒐集、個別安全問題的應對、網絡管理、系統管理、故障處理的系統的運營和維護。
5.監察、診斷、評估
在進行這一系列的維護網絡安全的措施時,非常重要的是必須定期的對其是否按照安全策略的規定正確執行進行監察、診斷、評價,從而通過對實際操作的分析來確認安全策略的成本是否過高、實際用戶的負擔是否過重、訪問控制的標準是否過嚴而導致使用效率的降低、實際執行過程中是否現實從而對安全措施重新考覈以修正其不合理的地方。通過這種Plan->Do->Check->Action地持續的循環過程才能逐漸形成一套更爲合理、有效的安全策略。
針對一個企業實施信息安全工程,必須從企業人員、運營流程和技術手段三個方面着手進行。從人員的角度來講,首先必須明確企業的信息資產、風險要素的評估和管理的具體目標;在這個基礎之上,必須在公司文化的立場上加強整體安全防範意識;而安全策略一旦制定必需嚴格遵守,並在實際執行過程當中針對出現的問題,適當調整企業制定的安全策略;由於安全措施不是一個一蹴而就的事情,它需要持續不斷的對員工進行網絡安全教育與日常指導,和對網絡安全策略的強化與執行監督。從業務流程來講,爲了使網絡安全工作能夠配合公司信息系統的正常運轉,並達到良好的效果,公司應該建立專門的信息安全部門,對信息系統進行評估,確定最佳的操作流程和關鍵性能指標。在此基礎上,實施網絡安全技術與方案,並隨時監測關鍵性能指標以及時調整相關的網絡安全措施。從技術上講,明確系統管理人員的責任與範圍,評估系統弱點與漏洞、跟蹤網絡安全的最新進展和變化,從而及時調整安全策略和制定新的安全標準;並且針對突發的安全事件,必須有相應的應急手段以將損失降到最低點。
因此,爲了不使安全保障陷入就事論事或拆東牆補西牆的低效狀態,嚴格按照行動綱領的框架腳踏實地地推行的態度就成爲最重要的要素。因此,越是腳踏實地的企業,它的安全度也就越高,因而就越能獲得社會的高度評價。