ITPub博客

首页 > 数字化转型 > ERP > 信息安全治理:董事会和执行管理层指南(第五章)

信息安全治理:董事会和执行管理层指南(第五章)

原创 ERP 作者:wildtulips 时间:2007-06-20 15:50:16 0 删除 编辑

第五章 引人深思的问题

【摘要】不要将安全看作是事后的事情。在开发生命周期的每个阶段都应关注它。

8章提供了一个结构化的问题集和实践,但信息安全治理还需要一些启蒙性的能引人深思提高意识的问题来揭示信息安全要点,进而获得关于这些要点需要作些什么的初始印象。

[@more@]

揭示信息安全要点的问题

  • 安全主管/CISO或主要业务管理者是例行地接触到信息安全工作吗?
  • 高层管理者是什么时候最后一次介入安全相关决策的?高层管理者多长时间介入一次安全问题的解决推动?
  • 管理者知道谁为安全负责吗?他知道这个安全职责吗?其他每个人知道吗?
  • 当他们看到时,人们能够识别这是安全事件吗?他们会忽略它吗?他们知道该怎么做吗?
  • 有人知道公司有多少台计算机吗?如果有些不见了,管理者知道吗?
  • 有灾难损失评估和灾难恢复计划吗?
  • 管理者识别出一旦泄露可能违反政策、法律、规范,造成经济困难、竞争力缺失的所有信息(客户数据、战略计划、财务数据、研究结果等等)了吗?
  • 公司挺过了最近一次病毒或恶意代码攻击了吗?最近12个月里公司遭受了多少次成功的攻击?
  • 曾经遭遇过入侵吗?频率和影响如何?
  • 有人知道有多少人在使用组织系统吗?有人关心他们的访问是否经过允许或者他们在做什么吗?
  • 安全是在事前被考虑还是事后?

帮助管理者发现该如何关注信息安全要点的问题

  • 企业清楚它与IT风险、安全风险相关的立场吗?它趋向于规避风险还是承担风险?
  • 信息安全的开销有多大?用在哪里?如何决定的?过去12个月里,什么项目承担着提高安全的责任?
  • 去年,百分之多少的职员有过安全培训?百分之多少的管理团队邮芰伺嘌担?/font>
  • 管理者如何决定谁可以访问组织的信息和系统?这些决定多长时间重新审视一次?
  • 组织如何监测安全事件?它们如何升级?管理者又是如何处理的?
  • 管理者为重大安全事件被公众知悉做好准备了吗?
  • 覆盖所有以上问题的安全程序就位了吗?贯彻执行安全程序的权责清楚吗?
  • IT职员了解为计算机犯罪取证/证据链保留证据的需求吗?

用于自评估信息安全治理实践的问题

  • 管理层对安全在企业内部获得足够的关注有信心吗?
  • 管理层知道最新的信息安全热点和最佳实践吗?
  • 组织参加安全事件、威胁、脆弱点的通告和共享服务了吗?
  • 业界最佳实践是什么?与其相对比,企业如何?
  • 管理层定期阐述和传达企业信息安全需求吗?
  • 管理层在应该投资多少用于信息安全改进的问题上只有一个意见吗?
  • 当开发业务和IT战略时,有考虑信息安全要点吗?
  • 管理层能定期获得安全状态报告和安全改进项目的进展报告吗?
  • 管理层是否建立独立的审计或信息安全审视?管理层是否会跟踪进展结果?

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/8114942/viewspace-992956/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论
  • 博文量
    12
  • 访问量
    12809