亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

為了更好地保護資產(chǎn)免受信息安全風(fēng)險的威脅，企業(yè)需要一個結(jié)合了完善的信息安全策略和最新技術(shù)的安全項目。作為項目核心的安全策略體系先被制定出來后，才開始考慮技術(shù)和產(chǎn)品的選擇。

安全策略相當(dāng)于企業(yè)安全項目的靈魂，只有在企業(yè)管理層全力支持安全策略的制定和實施，且安全策略規(guī)定的保護目標(biāo)明確可行的前提下，安全項目才有可能被成功實施。

為了更好地保護企業(yè)的信息安全，我們需要在現(xiàn)有的企業(yè)安全策略體系中，增加如何對安全項目實施監(jiān)控和效能度量的書面文檔，并制定相應(yīng)的安全項目度量標(biāo)準(zhǔn)。這可以分四步來完成。

第一步定義監(jiān)控

在安全策略中定義如何對安全項目進行監(jiān)控，是對監(jiān)控行為進行授權(quán)，使其能夠保持安全項目的良好運行的先決條件。

我們經(jīng)常可以看到一些企業(yè)的安全手冊上規(guī)定“沒有經(jīng)過授權(quán)的移動設(shè)備不能連接到公司的內(nèi)部網(wǎng)絡(luò)”，卻沒有規(guī)定到底由誰來負(fù)責(zé)檢查，以及如何對違反該條令的人員進行處罰；或者規(guī)定“公司的每個網(wǎng)絡(luò)設(shè)備的流量都應(yīng)受到監(jiān)控”，卻沒有規(guī)定什么類型的網(wǎng)絡(luò)流量應(yīng)該受到監(jiān)控。這顯然是毫無用處的，但是類似的條令卻充斥在許多企業(yè)的安全手冊里。

因此，我們首先要在安全策略里對監(jiān)控進行合理定義，內(nèi)容包括：1）安全項目中什么指標(biāo)需要進行監(jiān)控；2）誰來執(zhí)行該項監(jiān)控。

在許多場合，尤其在出現(xiàn)嚴(yán)重違反安全策略事件的情況下，負(fù)責(zé)監(jiān)控安全項目指標(biāo)的人員常常需要直接向管理層匯報事件的發(fā)展情況.。這時，監(jiān)控人員需要按照一定格式給管理層提交監(jiān)控報告。為了方便管理監(jiān)控報告，我們在制定安全策略的監(jiān)控標(biāo)準(zhǔn)時，應(yīng)該規(guī)定例行的安全項目監(jiān)控報告的書寫格式。

監(jiān)控報告應(yīng)該包括以下一些元素：執(zhí)行安全監(jiān)控的日期；監(jiān)控行為的執(zhí)行人；執(zhí)行監(jiān)控行為的地點，如企業(yè)的某個部門、設(shè)施或辦公室；安全監(jiān)控的主題；涉及的人員名字；監(jiān)控結(jié)果和風(fēng)險區(qū)域。

出于對隱私保護法律的遵守和對企業(yè)員工隱私的尊重，我們在制定監(jiān)控策略時，還應(yīng)該在安全策略中事先向企業(yè)員工聲明什么樣的行為會被監(jiān)控和記錄，以及實施監(jiān)控的原因。被監(jiān)控的原因主要有：保證業(yè)務(wù)處理或業(yè)務(wù)交易有據(jù)可查，為達到法律法規(guī)的要求，防止企業(yè)系統(tǒng)的未授權(quán)操作，為符合培訓(xùn)或服務(wù)標(biāo)準(zhǔn)的要求，防止犯罪行為等。

我們在制定安全策略時，為了節(jié)約成本和方便管理，應(yīng)該對監(jiān)控范圍進行限制。限制監(jiān)控范圍的指定有以下幾個原則：

第一，監(jiān)控敏感數(shù)據(jù)，而不是網(wǎng)絡(luò)通信流量，除非是使用網(wǎng)絡(luò)過濾技術(shù)防止信息資產(chǎn)的流失；

第二，對系統(tǒng)配置等這樣不經(jīng)常變化的監(jiān)控對象，可以用定時檢查代替持續(xù)檢查；

第三，重點關(guān)注企業(yè)的高風(fēng)險區(qū)域。

最后，我們還需要在安全策略中對監(jiān)控作一個標(biāo)準(zhǔn)的定義。比如說，監(jiān)控可以定義為對網(wǎng)絡(luò)通信流量的過濾，系統(tǒng)和配置文件的校驗，數(shù)據(jù)的日志、記錄和復(fù)審等。

監(jiān)控的定義還可以以安全策略中的一段文字或者單獨的文檔形式出現(xiàn)。比如說，有些企業(yè)是這樣定義的：“由于企業(yè)必須遵守法律、法規(guī)和隱私策略，而且企業(yè)有保護私有資產(chǎn)的需求，ABC部門將對本部門的所有網(wǎng)絡(luò)通信流量進行監(jiān)控和記錄，以滿足法律法規(guī)的要求，同時有利于發(fā)現(xiàn)犯罪行為和未授權(quán)的使用及訪問行為，并保護企業(yè)私有資產(chǎn)的合理使用。本部門所進行的監(jiān)控將根據(jù)法律法規(guī)和業(yè)務(wù)的要求進行書面記錄。注意監(jiān)控的行為必須經(jīng)過管理層的書面授權(quán)，沒有經(jīng)過授權(quán)的監(jiān)控行為都屬于違法行為。”

第二步制定安全基線

我們在安全策略中增加定義和授權(quán)監(jiān)控的條款后，接下來要做的是制定實施監(jiān)控時的安全基線。我們知道，基線是用于比較事物的一個標(biāo)準(zhǔn)，在安全策略中定義安全基線可以為企業(yè)的資產(chǎn)保護行為提供一個有效的度量標(biāo)準(zhǔn)。在確定安全基線之前，我們需要先考慮下面的問題：

·我們需要收集什么樣的信息和數(shù)據(jù)？為什么？

·企業(yè)業(yè)務(wù)運作對所收集數(shù)據(jù)的需求有哪些？

·數(shù)據(jù)應(yīng)該在什么時候通過什么方式收集？

·數(shù)據(jù)的收集是否允許使用第三方或自開發(fā)的工具？這些工具需要滿足什么樣的要求？

·誰負(fù)責(zé)數(shù)據(jù)的收集和對所收集數(shù)據(jù)的銷毀工作？

·收集到的數(shù)據(jù)需要向誰提交？采取什么樣的格式？

·如何保證提交的數(shù)據(jù)簡單明了？

第三部安排監(jiān)控計劃

在制定好安全策略監(jiān)控所需的安全基線之后，我們必須合理安排安全項目的監(jiān)控活動時間，還應(yīng)該做好關(guān)于如何進行安全監(jiān)控的工作說明。這樣，企業(yè)的IT人員才能以標(biāo)準(zhǔn)化的流程執(zhí)行企業(yè)安全項目中的監(jiān)控活動，管理層也可以掌握企業(yè)資產(chǎn)保護的情況。

企業(yè)定期安全監(jiān)控所產(chǎn)生的監(jiān)控結(jié)果，可以作為現(xiàn)有安全項目是否需要新增其他安全產(chǎn)品和人員的依據(jù)，也可以作為企業(yè)安全培訓(xùn)效果的反饋。最重要的是，企業(yè)還可以借助對安全項目進行定期監(jiān)控的結(jié)果，了解現(xiàn)有安全項目對企業(yè)業(yè)務(wù)產(chǎn)生的影響，從而進行靈活的調(diào)整以適應(yīng)不斷變化的外部環(huán)境和業(yè)務(wù)需求。

監(jiān)控計劃的安排根據(jù)企業(yè)的情況不同而不同，我們可以根據(jù)企業(yè)當(dāng)前的IT環(huán)境和人員情況來確定，并將其寫入安全策略中。

第四步確定報告制度

安全策略對企業(yè)資產(chǎn)保護和安全項目效能的監(jiān)控及度量結(jié)果，最終都會在提交給企業(yè)管理層的報告中得到體現(xiàn)。因此，一個完整的報告制度也應(yīng)該通過安全策略確定下來。按照所提交的對象和進行報告的目的不同，安全監(jiān)控和度量報告可以分成操作性和業(yè)務(wù)性報告兩種。

操作性報告的內(nèi)容主要包含：按照風(fēng)險類型劃分的安全策略違反事件次數(shù)，違反企業(yè)安全配置要求的設(shè)備數(shù)量，廢棄的賬戶數(shù)量，來自外界針對企業(yè)的不同類型的攻擊數(shù)量，病毒、蠕蟲和特洛伊木馬被攔截的數(shù)量，等等。

業(yè)務(wù)性報告主要用于在企業(yè)業(yè)務(wù)層次上對安全項目進行評估，主要的內(nèi)容應(yīng)該包括：由于失誤或錯誤配置導(dǎo)致的宕機時間和經(jīng)濟損失、安全項目的超支情況、顯著的或接受的風(fēng)險列表等。

大多數(shù)安全監(jiān)控和度量報告結(jié)合了操作性的和業(yè)務(wù)性的報告元素。根據(jù)企業(yè)文化的不同，他們可以通過表格、會議演示或白板等不同的格式來展現(xiàn)。我們在編寫安全策略和進行安全項目的時候，也應(yīng)該根據(jù)安全監(jiān)控和度量報告受眾的不同，預(yù)先定義好報告的格式和所要呈現(xiàn)的信息，并將其寫入安全策略中，從而保證安全監(jiān)控和度量報告的統(tǒng)一性和有效性。