信息安全管理的科学方法,让信息安全同业务目标保持一致

在过去的几年中,我为大量的组织创建了许多安全方案。由于公司所属的行业、风险状况和文化的不同,每个项目也都不尽相同。决定我使用的方法的最大的差异之一在于执行官的支持程度。

当我拥有高层的支持时,我使用自上而下的方法。我和管理层一起,建立一个启动和实施安全实践的框架。风险管理战略同组织的战略和目标紧密联系。治理 模式和政策也适用于执行战略和整体保护标准。这种方法的关键在于,有了高层的支持,可以协同、一致并有效地利用资源。人员,流程和技术一起工作来共同管理风险和成本。合规是实施了整体安全方案,而非具体目标的结果。

不是很成熟的组织使用自下而上的方法,操作人员在高层制定政策和程序之前加固核心资产。这种方法的问题之一在于,管理层没有为安全方案指定大的方 向,而只是设定了一些诸如数据防泄漏、端点保护、Web应用防火墙等可能和组织整体战略相脱节的目标。例如:合规成了总体目标,基于修复的需要,技术控制 措施被采购和部署。政策和流程被执行应对一个可以感知的威胁或风险,而不是基于回归到一个整体的框架。所采纳的框架(如ISO 27001标准,COSO,COBIT等等)往往只是被选择性的应用。

简单地说,自下而上是一种战术方法,而自上而下是一种战略方法。

一个好的首席信息安全官将帮助执行管理层了解信息安全对业务的重要性,让它成为可提高现有流程和操作效率的业务驱动力。当安全和业务流程保持一致 时,成本与效益的关系变得更容易被理清。但是无论多么优秀的首席信息安全官,如果没有同跨组织的各个部门工作的能力,没有让其他利益相关者加入的能力,自 上而下的办法是不可能的。

如果您想维持一定的成本,并实行有效的安全,您需要得到并拥有整体业务战略的支持——即使用自上而下的方法。一个自下而上的方法看起来似乎是有效的,但实际上它是非常低效率的。

security-for-business-success

文档安全管理系统与信息安全意识

不可否认的是现在是一个“知识经济”时代,组织的成功越来越多依赖“知识”的积累和应用。

在“人治”时代,人们的工作没有固定的可供遵循的章法,成功的关键要素是人们“无形的”能力,知识和技能的积淀和传承只能依赖“师傅”的胸怀和“徒弟”的悟性。

将知识和技能“文档化”无疑是现代组织取得成功并且能够让基业常青的基本内功,各个岗位都有自己的知识库、都有自己的工作流程和工作记录,更复杂一些的协同工作则对文档的要求提到了前所未有的高度。

而信息化无疑为文档化插上了腾飞的翅膀,让信息文档从传统的故纸堆开始迈向“无纸化”时代。当然出于多方面的原因,纸质的文档仍然需要保留一部分。

相对于纸质文档,“无纸化”电子文档的优势很明显,不仅低碳环保,而且更加高效。相对于物理的纸张,电子文档的安全性也上了一个台阶,至少不必担心文档着火、虫蛀或其它的物理损毁,但是电子文档的安全性也有一些倒退,比如容易被非法复制和恶意外泄,所以这对于强烈依赖信息数据的大量组织无疑是一个需要强化控管的热点问题。

媒体上经常报道某些公司雇佣黑客或间谍窃取竞争对手的核心机密文档,也有经常报道某些“内鬼”出卖公司的商业机密获利,这些血淋淋的文档外泄案例无疑给经营管理层敲起了警钟。

有问题的地方就有需求,市场上出现了大量的文档安全管理系统,大多使用了各类创新的安全科技,来防范外部入侵者和内部不良员工对重要文档的非法读取和拷贝。

使用创新科技的文档安全管理系统的确在一定程度上能够帮助保障信息数据的安全,然而简单安装配置文档安全管理系统容易,但是要使其发挥到最大的安保效力,却需要不少功夫,尤其是需要结合实际工作中控制管理。昆明亭长朗然科技有限公司的企业安全管理市场研究员Alice Wong说:文档安全管理系统是保障数据安全的工具,要使用好工具,关键还是依赖工具的使用者。

如何使用好文档安全系统管理工具呢?答案肯定不是好好阅读用户使用手册。要想真正回答好这个问题,需从信息安全控管的基础理念开始,想想如果工作的使用者不理解工具相关的必需知识,就如同把精密的仪器交给猴子一样。回到文档安全管理方面,亭长朗然的Alice强调信息安全管理负责人需要强化文档安全管理系统用户们的一些基础的安全意识理念,它们包括但并不限于:访问控制、帐户与权限管理、最小特权原则、特权分离原则、多重防御原则、数据备份、访问日志审计……

除此之外,要想保障信息数据的安全,不能完全依赖文档安全管理系统,这是因为绝大部分的重要信息存在于员工的头脑之中,即使部署并严格配置了文档安全管理系统或数据防泄露系统,员工仍然可能会偷拍重要的机密信息。即使强化了物理安全的控管比如禁止携带拍照设备,但仍然防范不了员工无经意的口头泄密。

昆明亭长朗然科技有限公司,不仅能够协同文档安全管理系统或数据防泄露系统产品提供商一道,通过安全意识基础理念的教育来帮助客户成功防范各类电子文档的安全。更能突破“电子文档”的限制,而从更高的信息数据安全层面,通过强化员工的信息安全保密意识,来弥补各类安全控管技术系统的不足。