| |
|
信息安全是一个庞大的概念,同时信息安全管理也是企业和IT管理的一项重要活动。iso27001认证标准致力于控制信息的供应并且防止未经授权的使用。所有的安全措施最主要的目标是要保护信息的价值,这种价值取决于保密性、完整性和可用性三个重大方面。信息安全管理实际上是由计划、实施、检查到改进多组成的无限循环。上海赛学信息安全管理部是各大中小企业iso27001认证中心的合作伙伴,将以保姆式的姿态对中小企业的信息安全进行漏洞扫描,从软件和硬件上帮助中小企业做好信息安全管理,做好网络信息安全。
从早期的网络访问控制到各种漏洞的封堵、从员工行为管理到桌面管理、从单纯的透明加密到融审计、监控、加密于一体的整体信息防泄漏,信息防泄漏走过了由技术到产品、由产品到方案、由方案到体系的发展之路。整体信息防泄漏的理念已经被众多企业所认可,在信息建设中,如何防止信息泄露,同时实现“安全、效率、成本”三者最优平衡,成为企业考虑的首要问题。为了给企业提供全面、整体的防泄漏体系,实现“安全、效率、成本”三者的最优平衡,中软信泰在总结逾10年过万家客户的服务经验基础上,最早提出以“整体信息防泄漏”理念为核心的“EISS信息防泄漏三重保护解决方案”:即企业进行防泄密建设,应从全局的视角出发,对安全问题进行统筹规划、统一管理,整合运用审计、权限管理、透明加密等防泄密功能,根据涉密程度的轻重,部署力度轻重不一的防护,有的放矢,在内部构建起全面、立体化的整体体系。
“棱镜门”曝光后我国政府对信息安全的重视度迅速提高,在制度、法规等各个层面强化信息安全要求:制度上,国家网络安全和信息化小组成立,信息安全被拔高到了国家战略层面;法规上,各类政策密集出台,特别是2016 年11 月《中华人民共和国网络安全法》获得通过,加大对企业信息安全的合规要求;(2)IDC 预测2019 年全国信息安全市场的总需求将由2014 年的22.40亿美元增长至48.22 亿美元,CAGR 为16.6%。
云计算模式下的安全模型与传统的安全模型存在巨大差异,为信息安全厂商带来新的需求。
信息资产安全防护:
信息资产安全是防止信息资产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制,即确保信息的完整性、可用性、保密性和可控性。信息资产包括文件、数据等。信息资产安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、鉴别等。
信息资产的安全是企业信息安全的核心问题,信息资产作为企业的无形资产,其价格无可估量。有些信息还可能决定企业的生死存亡,所以信息资产的安全防护是信息技术部工作的重中之重。结合集团现行的信息管理方式,根本没有任何的信息资产安全防护手段,比如财务服务器由财务人员自行管理,一个人就可以操作财务服务器,而且服务器都开通了远程桌面功能,有管理员的帐号、密码就可以随时在集团任何一台计算上登陆服务器进行的操作,这是相当致命的,我们只能奢求操作人是可以信任的,否则后果真是不敢想象。
出于以上考虑信息技术部建议从以下几点进行改进:
1、财务服务器应共由信息技术部与财务中心共同管理,服务器的登陆密码由信息技术部掌握,金蝶软件的高级密码由财务中心掌握,当需要操作财务服务器时,应该有财务中心总经理的审批手续方能操作服务器,信息技术部人员在见到财务中心总经理的审批手续后方可与财务中心授权人共同进行机房操作服务器,同时应该记录服务器操作日志,记录操作过程,同时所有财务服务器操作人员与信息技术部人员都需要签订保密协议。
2、财务服务器必须放置在机房并且具备上锁功能的机柜里,同时关闭财务服务器的远程桌面功能,每次的操作都需要审批后才能执行。
3、每季度对服务器的密码进行更换(包括服务器登陆密码及金蝶高级管理密码),并由信息技术部监督修改过程。
4、每周对服务器数据进行备份操作,并做好数据备份登记工作,每季度对所备份数据进行恢复性测试,保证备份数据完整性。同时要进行必要的重要数据异地备份,强化数据的容灾能力。
5、每周对服务器进行一次升级、更新、杀毒操作,保障服务器不被病毒感染,以起到病毒防护的目的。
信息安全管理的制度化是整个网络管理信息系统安全的重要保障。严格的安全管理制度、合理的人员配置和明确的安全职责划分可以在很大程度上降低其他层次的安全风险。管理层安全包括设备安全的管理、安全管理制度的制定与贯彻落实、部门与人员的组织规则、风险评估、安全性评价等。
上海赛学免费为黄浦区|徐汇区|长宁区|静安区|普陀区|虹口区|杨浦区|宝山区|闵行区|嘉定区|浦东新区|松江区|金山区|青浦区企业做上门诊断,出具iso27001认证方案。目前,中国iso27001认证公司有9家,国内国际的iso27001认证公司风格各不相同。
中小企业可以致电:021-64196861询问iso27001认证费用和iso27001认证机构的情况。 |
