信息安全是一個龐大的概念,同時信息安全管理也是企業和IT管理的一項重要活動。蘇州iso27001認證標準致力于控制信息的供應并且防止未經授權的使用。所有的安全措施最主要的目標是要保護信息的價值,這種價值取決于保密性、完整性和可用性三個重大方面。信息安全管理實際上是由計劃、實施、檢查到改進多組成的無限循環。
從早期的網絡訪問控制到各種漏洞的封堵、從員工行為管理到桌面管理、從單純的透明加密到融審計、監控、加密于一體的整體信息防泄漏,信息防泄漏走過了由技術到產品、由產品到方案、由方案到體系的發展之路。整體信息防泄漏的理念已經被眾多企業所認可,在信息建設中,如何防止信息泄露,同時實現“安全、效率、成本”三者最優平衡,成為企業考慮的首要問題。為了給企業提供全面、整體的防泄漏體系,實現“安全、效率、成本”三者的最優平衡,中軟信泰在總結逾10年過萬家客戶的服務經驗基礎上,最早提出以“整體信息防泄漏”理念為核心的“EISS信息防泄漏三重保護解決方案”:即企業進行防泄密建設,應從全局的視角出發,對安全問題進行統籌規劃、統一管理,整合運用審計、權限管理、透明加密等防泄密功能,根據涉密程度的輕重,部署力度輕重不一的防護,有的放矢,在內部構建起全面、立體化的整體體系。
“棱鏡門”曝光后我國政府對信息安全的重視度迅速提高,在制度、法規等各個層面強化信息安全要求:制度上,國家網絡安全和信息化小組成立,信息安全被拔高到了國家戰略層面;法規上,各類政策密集出臺,特別是2016年11月《中華人民共和國網絡安全法》獲得通過,加大對企業信息安全的合規要求;(2)IDC預測2019年全國信息安全市場的總需求將由2014年的22.40億美元增長至48.22億美元,CAGR為16.6%。
云計算模式下的安全模型與傳統的安全模型存在巨大差異,為信息安全廠商帶來新的需求。
信息資產安全防護:
信息資產安全是防止信息資產被故意的或偶然的非授權泄露、更改、破壞或使信息被非法的系統辨識、控制,即確保信息的完整性、可用性、保密性和可控性。信息資產包括文件、數據等。信息資產安全包括操作系統安全、數據庫安全、網絡安全、病毒防護、訪問控制、加密、鑒別等。
信息資產的安全是企業信息安全的核心問題,信息資產作為企業的無形資產,其價格無可估量。有些信息還可能決定企業的生死存亡,所以信息資產的安全防護是信息技術部工作的重中之重。結合集團現行的信息管理方式,根本沒有任何的信息資產安全防護手段,比如財務服務器由財務人員自行管理,一個人就可以操作財務服務器,而且服務器都開通了遠程桌面功能,有管理員的賬號、密碼就可以隨時在集團任何一臺計算上登錄服務器進行的操作,這是相當致命的,我們只能奢求操作人是可以信任的,否則后果真是不敢想象。
出于以上考慮信息技術部建議從以下幾點進行改進:
1、財務服務器應共由信息技術部與財務中心共同管理,服務器的登錄密碼由信息技術部掌握,金蝶軟件的高級密碼由財務中心掌握,當需要操作財務服務器時,應該有財務中心總經理的審批手續方能操作服務器,信息技術部人員在見到財務中心總經理的審批手續后方可與財務中心授權人共同進行機房操作服務器,同時應該記錄服務器操作日志,記錄操作過程,同時所有財務服務器操作人員與信息技術部人員都需要簽訂保密協議。
2、財務服務器必須放置在機房并且具備上鎖功能的機柜里,同時關閉財務服務器的遠程桌面功能,每次的操作都需要審批后才能執行。
3、每季度對服務器的密碼進行更換(包括服務器登陸密碼及金蝶高級管理密碼),并由信息技術部監督修改過程。
4、每周對服務器數據進行備份操作,并做好數據備份登記工作,每季度對所備份數據進行恢復性測試,保證備份數據完整性。同時要進行必要的重要數據異地備份,強化數據的容災能力。
5、每周對服務器進行一次升級、更新、殺毒操作,保障服務器不被病毒感染,以起到病毒防護的目的。
信息安全管理的制度化是整個網絡管理信息系統安全的重要保障。嚴格的安全管理制度、合理的人員配置和明確的安全職責劃分可以在很大程度上降低其他層次的安全風險。管理層安全包括設備安全的管理、安全管理制度的制定與貫徹落實、部門與人員的組織規則、風險評估、安全性評價等。