信息安全計劃是企業(yè)為了保障信息安全而必須監(jiān)管的一套控制機制。其內(nèi)容主要包括企業(yè)為保護重要數(shù)據(jù)資產(chǎn)需要采取的安全策略和過程。信息安全計劃應(yīng)當(dāng)有一套有效的步驟。本文討論改善此過程的七個步驟。

制定或獲得安全計劃

很多中小型企業(yè)并沒有一套安全計劃，即使有，往往也是一紙空文。

制定一套信息安全計劃有助于企業(yè)將重點放在需要保護的資產(chǎn)和安全風(fēng)險上，同時也會引導(dǎo)企業(yè)采取減輕風(fēng)險的措施。

其實，通過互聯(lián)網(wǎng)就可以找到許多通用的信息安全管理計劃，以這種信息安全管理計劃作為開端還是很不錯的。但企業(yè)應(yīng)當(dāng)使自己的安全計劃具有業(yè)務(wù)針對性，針對特定的需要和操作。

讓雇員成為信息安全管理過程的一部分

雇員越多地參與到信息安全的管理過程，企業(yè)信息安全管理成功的可能性就越大。讓員工成為查找風(fēng)險和應(yīng)對措施的一分子，投入到整個過程和計劃中。

信息安全管理過程應(yīng)當(dāng)教育企業(yè)中的每一個人。

還有重要的一點，讓每個人都為可授受的使用策略出謀劃策，并且每年都要簽定安全策略協(xié)議。

要激勵員工嚴格遵循計劃，并鼓勵他們提出必要的計劃修改建議。

進行業(yè)務(wù)影響評估

企業(yè)需要執(zhí)行業(yè)務(wù)影響評估，其目的是確認對企業(yè)的關(guān)鍵運營生死攸關(guān)的應(yīng)用程序、數(shù)據(jù)和系統(tǒng)。

制定或改善信息安全管理計劃的最佳方法是確保它有所依據(jù)。畢竟，設(shè)計安全計劃的目的是為了保護人員、資產(chǎn)、數(shù)據(jù)等。

企業(yè)還應(yīng)當(dāng)確認機密數(shù)據(jù)及其位置，確認其接收、存儲、傳輸和訪問的方式。然后，設(shè)法保護機密數(shù)據(jù)，借助實用、適當(dāng)?shù)陌踩椒▉頋M足業(yè)務(wù)需求。

為災(zāi)難做好規(guī)劃

災(zāi)難恢復(fù)計劃對于企業(yè)的功能正如氧氣對于人的作用一樣。企業(yè)需要問一下，如果業(yè)務(wù)停頓了，是否會喪失收入和客戶以及未來的收入，是否會喪失聲譽，是否存在需要滿足的規(guī)范和要求？

如果企業(yè)對上述問題的回答是肯定的，它就需要一個災(zāi)難恢復(fù)計劃。那么災(zāi)難恢復(fù)計劃應(yīng)當(dāng)包含哪些呢？

簡單來說，該計劃保護的范圍應(yīng)當(dāng)包括你的人員、關(guān)鍵信息和系統(tǒng)。業(yè)務(wù)影響評估有助于企業(yè)確認暴露程度并確定目標，有助于確保正確地保護機密數(shù)據(jù)。

接下來的問題是平衡成本。例如，如果數(shù)據(jù)泄露的成本是20000元，你不會花600000元來防止其發(fā)生，但是如果把這兩個數(shù)字反過來，這種投資就值得了。

反復(fù)培訓(xùn)

企業(yè)應(yīng)當(dāng)就安全策略、基本信息安全、社交工程攻擊的識別和避免等方面對雇員進行培訓(xùn)。培訓(xùn)內(nèi)容最好結(jié)合鮮活的例子，切忌空話連篇。此外，向雇員提供關(guān)于互聯(lián)網(wǎng)、社交媒體、可移動設(shè)備的安全使用的相關(guān)信息相當(dāng)重要。

就員工正在使用的技術(shù)進行培訓(xùn)，用以支持企業(yè)的具體環(huán)境，更要培訓(xùn)技術(shù)方面的安全措施。人身上不可能存在一個可以防止犯錯的防火墻，但能夠代替這種防火墻的最佳選擇應(yīng)當(dāng)是人的知識和信心。

評估和監(jiān)視

企業(yè)應(yīng)通過評估衡量自己的安全計劃。應(yīng)當(dāng)在被要求審計之前就自己執(zhí)行審計，以便于找到已經(jīng)建立的控制中的漏洞，從而不斷地改善自己的計劃。

必須監(jiān)視企業(yè)使用的數(shù)據(jù)及保管此數(shù)據(jù)的系統(tǒng)，確保其不會受到意外變化的破壞。還要監(jiān)視用戶，確保其遵循企業(yè)已經(jīng)建立的安全規(guī)則及認證過程中不存在漏洞。必須監(jiān)視事件，確保自己可以管理一個高效的事件響應(yīng)過程。

為未來的變更進行規(guī)劃

小型企業(yè)趨于動態(tài)變化，而且將要采用或?qū)⒁M入安全計劃的任何東西也應(yīng)當(dāng)是動態(tài)的。隨著企業(yè)需要和過程的變更，也需要對計劃進行檢查和調(diào)整?？傮w而言，應(yīng)將安全計劃看作是企業(yè)成長發(fā)展的一種鮮活的不斷演變的要素。

【編輯推薦】

1. 中小企業(yè)信息安全規(guī)劃的10個必備步驟
2. 啟明星辰和網(wǎng)御星云重組揭開信息安全產(chǎn)業(yè)整合大幕
3. 新希望：中國信息安全產(chǎn)業(yè)重裝上陣