原因分析
重视信息化体系的投资与建设,却忽视了IT安全系统的建置;
成本投入和经济效益回报可见性差、岗位设置和管理策略实施难、系统用户意识差和整体提高困难、网络资源健康应用与管理手段落后、业务快速发展与建设滞后、网络化建设超速与规范不协调、IT产品类型繁多和管理滞后、网络攻击突发性和防范响应滞后、内外网络隔离和数据交换方便性间的矛盾。
解决方案
企业IT安全体系建设遵循BS7799/ISO27001标准;
IT安全体系建设范围:
安全政策制定及评估
信息安全组织
资产管理
人力资源安全
实体与环境安全
通讯与作业管理
访问控制
系统取得、开发与维护
信息安全事故管理
企业持续运营管理
符合性
效益分析
增加客户对企业服务之信任度与满意度,提高企业竞争优势;
建立信息安全管理循环,达成更结构化、系统化之信息安全管理,以持续改善企业内部信息安全环境;
提升内部信息安全的保护等级,降低因内外在威胁而造成之损失;建立符合经济效益之信息安全管理制度,进而提升经营利润;
降低企业重要信息资产可能外泄之风险;
加强员工对企业内信息安全的认同与参与感;
对安全政策的要求与承诺。
