信息安全計(jì)劃是企業(yè)為了保障信息安全而必須監(jiān)管的一套控制機(jī)制。其內(nèi)容主要包括企業(yè)為保護(hù)重要數(shù)據(jù)資產(chǎn)需要采取的安全策略和過(guò)程。信息安全計(jì)劃應(yīng)當(dāng)有一套有效的步驟。本文討論改善此過(guò)程的七個(gè)步驟。

制定或獲得安全計(jì)劃

很多中小型企業(yè)并沒(méi)有一套安全計(jì)劃，即使有，往往也是一紙空文。

制定一套信息安全計(jì)劃有助于企業(yè)將重點(diǎn)放在需要保護(hù)的資產(chǎn)和安全風(fēng)險(xiǎn)上，同時(shí)也會(huì)引導(dǎo)企業(yè)采取減輕風(fēng)險(xiǎn)的措施。

其實(shí)，通過(guò)互聯(lián)網(wǎng)就可以找到許多通用的信息安全管理計(jì)劃，以這種信息安全管理計(jì)劃作為開(kāi)端還是很不錯(cuò)的。但企業(yè)應(yīng)當(dāng)使自己的安全計(jì)劃具有業(yè)務(wù)針對(duì)性，針對(duì)特定的需要和操作。

讓雇員成為信息安全管理過(guò)程的一部分

雇員越多地參與到信息安全的管理過(guò)程，企業(yè)信息安全管理成功的可能性就越大。讓員工成為查找風(fēng)險(xiǎn)和應(yīng)對(duì)措施的一分子，投入到整個(gè)過(guò)程和計(jì)劃中。

信息安全管理過(guò)程應(yīng)當(dāng)教育企業(yè)中的每一個(gè)人。

還有重要的一點(diǎn)，讓每個(gè)人都為可授受的使用策略出謀劃策，并且每年都要簽定安全策略協(xié)議。

要激勵(lì)員工嚴(yán)格遵循計(jì)劃，并鼓勵(lì)他們提出必要的計(jì)劃修改建議。

進(jìn)行業(yè)務(wù)影響評(píng)估

企業(yè)需要執(zhí)行業(yè)務(wù)影響評(píng)估，其目的是確認(rèn)對(duì)企業(yè)的關(guān)鍵運(yùn)營(yíng)生死攸關(guān)的應(yīng)用程序、數(shù)據(jù)和系統(tǒng)。

制定或改善信息安全管理計(jì)劃的最佳方法是確保它有所依據(jù)。畢竟，設(shè)計(jì)安全計(jì)劃的目的是為了保護(hù)人員、資產(chǎn)、數(shù)據(jù)等。

企業(yè)還應(yīng)當(dāng)確認(rèn)機(jī)密數(shù)據(jù)及其位置，確認(rèn)其接收、存儲(chǔ)、傳輸和訪問(wèn)的方式。然后，設(shè)法保護(hù)機(jī)密數(shù)據(jù)，借助實(shí)用、適當(dāng)?shù)陌踩椒▉?lái)滿足業(yè)務(wù)需求。

為災(zāi)難做好規(guī)劃

災(zāi)難恢復(fù)計(jì)劃對(duì)于企業(yè)的功能正如氧氣對(duì)于人的作用一樣。企業(yè)需要問(wèn)一下，如果業(yè)務(wù)停頓了，是否會(huì)喪失收入和客戶以及未來(lái)的收入，是否會(huì)喪失聲譽(yù)，是否存在需要滿足的規(guī)范和要求？

如果企業(yè)對(duì)上述問(wèn)題的回答是肯定的，它就需要一個(gè)災(zāi)難恢復(fù)計(jì)劃。那么災(zāi)難恢復(fù)計(jì)劃應(yīng)當(dāng)包含哪些呢？

簡(jiǎn)單來(lái)說(shuō)，該計(jì)劃保護(hù)的范圍應(yīng)當(dāng)包括你的人員、關(guān)鍵信息和系統(tǒng)。業(yè)務(wù)影響評(píng)估有助于企業(yè)確認(rèn)暴露程度并確定目標(biāo)，有助于確保正確地保護(hù)機(jī)密數(shù)據(jù)。

接下來(lái)的問(wèn)題是平衡成本。例如，如果數(shù)據(jù)泄露的成本是20000元，你不會(huì)花600000元來(lái)防止其發(fā)生，但是如果把這兩個(gè)數(shù)字反過(guò)來(lái)，這種投資就值得了。

反復(fù)培訓(xùn)

企業(yè)應(yīng)當(dāng)就安全策略、基本信息安全、社交工程攻擊的識(shí)別和避免等方面對(duì)雇員進(jìn)行培訓(xùn)。培訓(xùn)內(nèi)容最好結(jié)合鮮活的例子，切忌空話連篇。此外，向雇員提供關(guān)于互聯(lián)網(wǎng)、社交媒體、可移動(dòng)設(shè)備的安全使用的相關(guān)信息相當(dāng)重要。

就員工正在使用的技術(shù)進(jìn)行培訓(xùn)，用以支持企業(yè)的具體環(huán)境，更要培訓(xùn)技術(shù)方面的安全措施。人身上不可能存在一個(gè)可以防止犯錯(cuò)的防火墻，但能夠代替這種防火墻的最佳選擇應(yīng)當(dāng)是人的知識(shí)和信心。

評(píng)估和監(jiān)視

企業(yè)應(yīng)通過(guò)評(píng)估衡量自己的安全計(jì)劃。應(yīng)當(dāng)在被要求審計(jì)之前就自己執(zhí)行審計(jì)，以便于找到已經(jīng)建立的控制中的漏洞，從而不斷地改善自己的計(jì)劃。

必須監(jiān)視企業(yè)使用的數(shù)據(jù)及保管此數(shù)據(jù)的系統(tǒng)，確保其不會(huì)受到意外變化的破壞。還要監(jiān)視用戶，確保其遵循企業(yè)已經(jīng)建立的安全規(guī)則及認(rèn)證過(guò)程中不存在漏洞。必須監(jiān)視事件，確保自己可以管理一個(gè)高效的事件響應(yīng)過(guò)程。

為未來(lái)的變更進(jìn)行規(guī)劃

小型企業(yè)趨于動(dòng)態(tài)變化，而且將要采用或?qū)⒁M(jìn)入安全計(jì)劃的任何東西也應(yīng)當(dāng)是動(dòng)態(tài)的。隨著企業(yè)需要和過(guò)程的變更，也需要對(duì)計(jì)劃進(jìn)行檢查和調(diào)整?？傮w而言，應(yīng)將安全計(jì)劃看作是企業(yè)成長(zhǎng)發(fā)展的一種鮮活的不斷演變的要素。

【編輯推薦】

1. 中小企業(yè)信息安全規(guī)劃的10個(gè)必備步驟
2. 啟明星辰和網(wǎng)御星云重組揭開(kāi)信息安全產(chǎn)業(yè)整合大幕
3. 新希望：中國(guó)信息安全產(chǎn)業(yè)重裝上陣