迈克菲3R计划确保企业安全战略与业务目标一致

来源:迈克菲全球首席技术官   作者:Mike Fey
2013/1/29 16:18:21
我们曾撰文讨论过负责企业安全的高管应承担哪些责任,如何识别威胁警告信号并为抵御网络攻击做好准备。但在这方面,企业高管和安全团队一直未能以一种浅显易懂的语言向管理人员进行阐述。因此迈克菲经常会向我们的客户普及如何通过开放沟通渠道来影响企业安全的知识。



作者:迈克菲全球首席技术官 Mike Fey

我们曾撰文讨论过负责企业安全的高管应承担哪些责任,如何识别威胁警告信号并为抵御网络攻击做好准备。但在这方面,企业高管和安全团队一直未能以一种浅显易懂的语言向管理人员进行阐述。因此迈克菲经常会向我们的客户普及如何通过开放沟通渠道来影响企业安全的知识。

在对企业安全进行审核时,我们经常会发现信息沟通严重脱节的情况。典型的安全团队会对企业抵御一般威胁或攻击的能力进行评估,并制定相应的计划以填补这些漏洞。但最终实施的计划通常会漏掉一个关键因素:清晰了解需要保护的公司资产。

为保证安全战略与业务目标保持一致,我们制作了一个小练习,采用非技术方式揭示业务风险,以便将业务风险与安全计划无缝契合。我们称之为“3 R”计划: 资产、危害与法规 (Riches, Ruins,Regulations),旨在帮助企业高管和安全专家采用通俗的语言进行表述,并找到与业务核心密切相关的有价值资产。通常,只有业务部门的员工才能清楚地了解这些资产以及资产间的关联,但这些人员并未囊括在安全团队中。由于信息沟通不畅,在这些系统中部署的安全控件通常无法与这些资产为企业所带来的风险相匹配。

此练习的工作机理非常简单,首先确定3R计划中的资产、危害和法规这三个要素,然后安全团队基于这三点进行分析以确保公司的安全:

资产

l哪些资产有偷窃价值?

l可以通过哪些途径窃取这些资产?

l哪些人最有可能窃取该资产?

l在窃取资产后,窃贼会通过什么途径离开?

危害

l哪些情况会危害我们的信誉?

l如果资产遭窃,会对公司造成哪些直接损失或责任?

l如果资产遭窃,会对公司造成哪些间接损失(如危害信誉)?

法规

l公司需要遵守哪些合规性规则?

l由谁来负责检查合规情况?

l由谁来负责根据不同的法规来审核公司的合规情况?

l对于违反合规性要求的情况,是否有相应的处罚措施?

此练习主要针对那些具有重要

责编:孔维维
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918