热点:

企业信息化安全合规需要遵从五个技巧

  [  畅享网 转载  ]  
收藏文章 暂无评论

  由于数据安全和数据保护的方式方法的不同,很容易导致不同企业遵从的法规和标准不同,进而导致企业遭受数据泄漏和安全威胁。通过创建风险管理,IT管理的规则和流程,可以有效的防止企业遭受数据泄漏的风险。

  但是创建风险管理的规则和流程的任务是十分艰巨的,不同的企业喜欢采取的管理方式也不尽相同。有的企业喜欢通过单点的解决方案为每一个项目提供安全防护,但这非常容易造成工作的重复和预算的超支。

  与此同时,企业发现数据泄漏的平均时间也在延长,先进的网络攻击已经超越了黑客的间谍活动,开始针对知识产权和内幕信息进行金钱的收益。更不幸的是这些网络攻击针对的企业和组织,不仅包括政府,军工企业,还包括一些"高调"的公司。很多时候,这些企业和组织因为缺乏必要的网络安全工具,经常被黑客关顾。

  因此,合规性是企业运行良好风险管理计划的前提。Gartner研究机构总监曾经表示,CIO必须在进行业务决策前,积极的应对各种未知的风险和威胁。企业的CIO可以考虑用一下方法来规避风险:

  第一,统一组织结构,减少错误评估风险

  IT安全是企业战略和经营目标的一个重要组成部分。通过定义关键步骤,建立一个统一的组织结构,以尽量减少由于错误评估风险和控制计算错误。同时,通过整合项目资源,从不同的领域,包括最终用户和利益相关者,特别是获得高层管理人员的支持。在进行风险评估的过程中,尽可能多的与利益相关者进行沟通。

  第二,保证通畅的交流,获取评估信息

  保证通畅的交流,可以有效的创造和交流设施政策。此外,风险和法规的遵从对用户是友好和有益的。例如,通过使用基于度量的业务语言,为GRC(行政管理、风险管理、法规遵从)评估提供有益信息。

  第三,确定一个计划的目标和指标

  企业的IT环境对当期和未来GRC有很大影响,需要组织审查现有的流程和政策,识别关键风险,资产差距,以及建立IT风险与合规指标。指标可以用来定义当前的安全与合规水平,还有未来理想的状态,使IT与该组织的其余部分都能获得安全技术部署,流程管控。

  第四,具有实用和成本效益的改善计划

  风险评估和分析后,通过设置GRC的优先级来实现近期和长期目标。成本效益和战略风险评估可以帮助组织优先考虑固有风险的基础上,确定最有效的基于风险的结果,控制和项目实施前的投资回报。通过一个全面核心业务流程,使组织制定或修改现行政策、程序、标准,并确定现有的控件和框架的可重复使用,以符合新的任务。此外,通过不断对未来的规划,可以达到一定的安全目标。

  第五,简化风险和控制

  为了减轻不必要的控制和测试的开支,GRC的团队需要对许多风险和控制之间的关系进行梳理。风险评估的定义是多个法规风险和控制共享的独特属性。通过减少重复的控制,识别控制依赖,链接之间的多层次结构风险,通过不同的进程之间共享信息,来控制GRC流程,确定标准化的实践。

  通过以上措施,可以自动为GRC审计组织中的所有利益相关者提供工作流程。利益相关者可以查看的威胁和应用漏洞来进行业务评估,并优先响应,将任务分配给个人或团队,或者跨团队,跨业务线和跨地域的进行风险和法规遵从。

cio.zol.com.cn true //cio.zol.com.cn/397/3979067.html report 2543   由于数据安全和数据保护的方式方法的不同,很容易导致不同企业遵从的法规和标准不同,进而导致企业遭受数据泄漏和安全威胁。通过创建风险管理,IT管理的规则和流程,可以有效的防止企业遭受数据泄漏的风险。  但是创建风险管理的规则和流程的任务是十分艰巨的,不...
不喜欢(0) 点个赞(0)

推荐经销商

投诉欺诈商家: 010-83417888-9185
  • 北京
  • 上海

企业信息化文章推荐