数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
一、建立对信息安全正确的认知
CIO自己要建立这样的一种认知:信息安全是一个持续推进的事情,绝对不可能一蹴而就,而且信息安全没有一个做完的概念,它是一个一直在做的事情。
就好像你在不断的建筑城墙防御,但是这个城市的边界不断在延伸。新的攻击手段也不断在出现,最关键的是人在不断的流动,而且大家对于便利性体验的需求一定是高过安全的。在这样的情况下,信息安全是做不完的,这个认知一定要有,而且要同步给CEO和高管层。所以安全的认知教育首先从企业核心管理层开始。数字化转型网www.szhzxw.cn
二、企业员工的安全意识教育
信息安全的问题,80%以上是人的问题,不是技术的问题,绝大多数的安全事故是人造成的。
有人在外面出差,连了一个WIFI,被植入了一个木马;有人拿着家里的无线路由接入公司的网络插口被入侵了;有的人电脑或者手机丢了,信息泄露了;有人随意拿在外面的U盘插到公司的电脑中;有人收到不明来历的邮件,随意点开一个附件;有人上传的公司代码到公开的代码平台里面有明文的IP账号密码等等。数字化转型网www.szhzxw.cn
这些现象每天都在发生,有些造成了安全事件,大多数没有造成问题,但是如果造成问题,可能带来的是巨大的损失。所以安全意识教育是企业里面信息安全工作的重中之重。但是问题是很多CISO包括CIO都是技术出身,在推进安全意识这件事情上不擅长,这个就需要解决的一个能力问题。
三、建立信息安全委员会
信息安全是牵涉到公司运作方方面面的事情,需要在公司层面建立一个信息安全委员会这样的组织。一方面对接公司的核心管理层,另一方面推进安全的各项工作,包括优先级的设定、安全事件的响应等等,这个信息安全委员会应该是跨部门的公司高层之一负责的虚拟组织。
四、寻找专业咨询援助
因为信息安全是一个很专业也很复杂的事情,建议可以找一个比较专业的咨询公司,帮助企业做一个安全的评估和安全的规划项目。一方面帮助企业建立一个。全成熟度的衡量体系,让大家特别是企业管理层了解企业的安全成熟度在什么水平,也可以帮助CIO在争取资源投入上有依据。另一方面,帮助理清企业信息安全相关工作的整体规划。这么多领域优先级怎么排?怎么有计划的来推进工作。最后在信息安全的团队建设和资源投入上,结合公司的情况合理规划在资金和人员投入上不能放在低优先级去考虑。
声明:本文来自榕锦IT高管共赢圈,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于榕锦IT高管共赢圈;编辑/翻译:数字化转型网萍水。
