随着网络规模的不断扩大,以及业务对网络稳健性需求的不断强烈,信息安全成了CIO眼下最热的话题之一。记得两年前的“冲击波”吗?这个病毒一下子让无数企业网络处于瘫痪状态,造成的直接经济损失规模大的惊人。如今企业都面临着是否要信息化的选择,信息安全也随之成了信息化的重要一环。可令人费解的是,众多企业宁可花大把的钱购买服务器、交换机,却很少愿意掏合适的价钱去加强企业网络的安全措施,难道信息安全对企业一无所用?
没有几家用户敢说自己拥有无懈可击的信息安全计划。事实上,在确保业务信息的可用性、完整性以及机密性方面,各行各业的用户都面临或大或小的挑战。
随着安全威胁的与日俱增和日益复杂,越来越多的用户开始采取更主动的方法来实现信息安全: 将安全现状与确保业务连续性所需要的安全目标进行比较分析,以此确定存在的问题和不足,并积极采取有针对性的措施,从而向创建和实现保护关键资产所需的可靠架构迈出重要一步。
明确业务要求
一项信息安全计划要想行之有效,就必须充分考虑人员、过程和技术三要素。因此用户在确定存在安全差距时同样需要考虑这些要素。
在确定差距时,用户首先需要确定关键业务目标,然后概括出实现这些业务目标所需要的安全条件。这些业务目标和要求将成为企业制订信息安全计划的基准。接下来,用户需要确定公司的长期战略目标、业务环境可能发生的变化、高优先级的安全问题以及其他战略战术问题。
