信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应当与组织对信息资产风险的保护需求相一致。由于信息安全是一个动态的系统工程,企业应实时对选择的管制目标和管制措施加以校验和调剂,以适应变更了的情况,使企业的信息安全得到有效、经济、合理的保护。
(4)成立安全管理小组,编制安全基线分析报告
CIO应要根据安全基线分析报告制定企业信息安全架构,包含成立一支专业、高效的信息安全管理的队伍,一般由信息安全主管为核心,并由信息安全日常管理、信息安全技巧操作两方面的人员组成。这对建立有效的信息安全是非常有必要的。安全基线分析报告是指应用各种手段从各个层面广泛收集IT风险状态,进行全面、彻底的自我分析与诊断的报告。包含对组织业务特点、组织文化、安全意识、人员状态及信息风险评估的综合分析,详细描写当前企业的信息安全状态,为进一步制定信息安全投资预算打算、信息安全投资回报分析、制定安全政策、引入安全把持措施而供给基础数据。
(5)平衡信息安全架构中的风险
有业内人士指出,风险把持是一门系统科学,风险降得越低需要的支出就会越多。因此,企业需要寻找一个合适的平衡点来保障企业能够在可接收的风险范畴内支出尽量少的钱。而要想平衡IT架构中的安全风险,就必须在信息安全架构设计的过程中平衡多种需求,这些需求可能是来自业务部门,或者来自企业的方方面面。平衡信息安全架构通常需要根据组成构架的每个元素的重要性来断定如何进行取舍和开发。基于此,许多信息安全专家一致认为信息安全架构需要从整体安全角度来审阅全部架构,以平衡架构设计与利用中的安全风险。
总而言之,信息安全是一个相对的概念,安全要挟时时刻刻存在。IT信息的安全涉及方方面面,任何一个处所的疏漏都会成为全部IT治理的致命短板。因此,当没有建立起信息安全架构时,IT治理基本无从谈起。IT技巧本身可能是信息安全部系里最不重要的部分,但IT信息安全架构却是重中之重。IT 信息安全架构不仅是IT治理的一部份,更是企业持续经营重要基石。
相关阅读