您的位置: DOIT首页 » 安全频道 » 正文

为企业风险制定安全指标

 09年06月26日 16:29【编译】作者:译者:花满蹊  责任编辑:张雅静

导读:为企业制定安全指标是一项艰巨的任务。然而,IT专业人员表示,在有效的安全和严重的漏洞之间制定安全指标将是截然不同的两个工作。

关键词: 安全 企业 风险管理

DoSECU安全报道 6月26日消息:为你的企业制定安全指标是一项艰巨的任务。然而,IT专业人员表示,在有效的安全和严重的漏洞之间制定安全指标将是截然不同的两个工作。

当Bruce Jones在Eastman Kodak公司担任全球IT安全风险和法规遵从管理人员的时候,他发现摆在他面前的是一个颇具挑战性的问题:怎么制定一套坚固的安全指标,用来与公司的其他部门进行风险沟通。

大约两年半的时间过去了,Jones制定出了一个风险管理规划,并且确实可行。

对于企业来说,制定合适的指标是维持整个企业安全的关键一部分。指标可为企业提供一个可有效地判断风险的标杆。但是,安全专业人员表示,确定那些指标并把它们与风险管理计划相结合确实堪称一项艰巨的任务。企业应该从为指标制定清晰的目标开始,保证收集的这一过程是可重复和可管理的。

"人们往往会有点儿心理抵触,因为这种事情太过艰难以致于什么事情也不能做,他们最终就会不愿意做很多事情或者干脆什么也不做。"Securosis一分析师Rich Mogull表示:"不要只看互联网安全中心的指标,试着立刻着手做所有的事情。放下心里负担去做好了,选取高优先的领域,确保你了解这个领域,使用你所有的工具去实施,然后再进入下一个领域。"

在柯达,Jones从研究其他公司怎么做开始,但是发现许多方法都太过学术了,需要大量的工作来管理或不适合与业务部门进行沟通。在多层控制台方面他停止了工作,该控制台范围的指标的基础可能会出现问题,并且别的地方出现故障之后还可能会出现潜在的影响。这些指标包括访问管理、入侵检测,以及恶意软件。

第一级,也是最高的一级,预留那些影响非常严重的和立即补救的问题。

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册

Copyright © 2003-2012 DOIT.com.cn, All Rights Reserved

DOIT传媒 版权所有京公网安备: 110105001105
京ICP证030972号电信业务审批 [2009]字第572号
link