安全政策的致命 7宗罪

on 2009-11-30 in 安全 | 0 Comment
  【IT专家网独家】在这个合规为中心世界企业必须部署很多安全政策来保证合规但是你安全政策真能够有效缓解企业所面临风险吗?你安全政策是否只是为了顺应法律而制定而没有实际作用?根据很多政策专家表示企业在制定安全政策时都会犯很多常见本文将例举 7个常见安全政策

  1.在制定安全政策前没有进行风险评估

  任何企业在制定任何政策前问个问题就是“为什么我们需要这项政策我们希望通过这项政策实现什么目?”这虽然是很简单问题但这也是最容易被忽视关键步骤加州某独立信息安全顾问Charles Cresson Wood表示

  “我有个客户法律规定而被迫制定安全政策和宣传材料但是他们公司 3年都没有进行风险评估”Cress Wood表示“他们并不知道他们制定政策何在因此这些政策失去价值虽然他们遵守了法律规定但是并没有意义

  Wood正在试图让他客户以全面综合角度来看待信息安全和政策制定以帮助他们部署真正有效政策大部分政策制定都是受合规驱使没有实际意义 “这意味着用户们是被别人控制我们需要让大家真正发挥政策价值我更喜欢‘目标致’这个说法” 尽管如此在部署任何方案前首先第步就是进行全面风险评估这样就能够确切知道企业需求

  2. “放的 4海而皆准”心态

  “这对于我来说听起来有点奇怪”Cresson Wood表示他专门为企业出了本用于制定政策模板书“但是那些只是个起点” 很多企业只是简单使用各种书籍中举例或者借用其他公司政策内容他表示尤其是在现在经济不景气时候大家对于时间和金钱都颇感压力他们只是复制别人东西Cresson Wood甚至还看到过某家公司安全政策上还留有另家公司名字当Wood拿着材料希望引起管理层关注时他们只是说“编辑工作没有做好

  但是制定安全政策价值不仅仅是编辑工作这么简单你可能会使用模板或者借用其他公司东西在进行风险评估后你必须确定你企业需要怎样政策这需要花费些时间来制定适合你们公司独特安全环境政策

  3. 缺少标准模板

  听起来这似乎和上条内容背道而驰条是说不能有“放的 4海而皆准”心态但是这并不意味着企业内政策不需要保持致性德克萨斯州安全顾问Scott Hayden表示(专注于管理、政策和意识培训) “每份文件都会有种标准格式”Hayden表示“有公司把东西弄得塌糊涂政策写在纸上又在电子邮件中”Hayden建议企业应该制定企业政策管理标准和制度来管理政策制定、宣传和维护 “我强烈建议所有政策和制度都遵守相同模板并且确保每份指导文件上关键信息是

  “当我看到某个企业政策有100多页时我就知道这是无用无效文件当对政策进行任何修改时必须重新把100多页文件进行修改并且发放给每个人

  4.华而不实政策

  “另外个问题就是我们经常会看到那些只是为了满足审计或者合规要求而制定政策但是却根本不具有执行性”Hayden表示“这是很严重问题

  Cresson Wood也表示很多企业甚至没有意识到他们并没有遵循他们所部署政策通常都是那些没有进行充分地频繁地合规检查企业 “那些拥有良好记录没有严重数据泄漏事故以及高级别合规企业通常都是每隔两周进行次合规检查并且将这个操作自动化”Cresson Wood表示 Hayden表示他经常碰到情况就是那些政策在真实世界中并不实际

  “可能你政策中规定不能个人使用业务机器”他表示“但是你真执行了么?你又是如何定义个人使用呢?”这是个很严重问题如果你政策不能最终执行那么制定政策所花费努力都白费了

  企业政策可执行性是很重要如果你不能执行审计中审核政策这就和没有正常没什么区别

  5.政策未能获得管理层支持

  你是否规定公司所有员工都携带员工牌但是却不要求CEO佩戴?这是每个人都必须遵守安全政策甚至包括哪些最高级别管理人员

  “很多情况下他们认为CEO不会支持这些事情或者他们认为CEO不能理解这样事情”Cresson Wood表示“但是我们需要高层管理人员为员工做好榜样以保证安全政策更好执行

  Cresson Wood表示有些企业经常会把限制级别更低笔记本给那些C级管理人员使用以便他们能够更便捷地使用

  “这样做只会事倍功半他们也必须像其他人样遵守相同安全要求不能高层管理人员需要访问非常重要信息而给他们限制低访问权”必须让每个人都遵守安全规定

  6.当系统部署后才制定政策

  为什么当系统开始运行时候就制定政策呢?安全必须是系统部署过程需要考虑问题Cresson Wood表示他经常看到很多企业部署补丁修复管理都是过时完全不符合安全要求

  “从最开始从可行性分析阶段就应该考虑安全问题如果安全问题只是附件那么事后又必须不断修复安全漏洞从最初阶段就考虑安全问题将能够确保系统环境安全性反的系统就是不完整不充分也不能够更好完成业务

  7.后续工作不足

  也许上面 6宗罪你都没有份但是你后续工作做得如何呢?

  “安全政策至少每年要重新评估或者更加频繁”Cresson Wood表示

  Wood建议企业将政策作为个过程这也就意味着你需要跟进它并且随时检查它是否可以运行还需要根据实际情况进行适当调整

  “制定政策并不是孤立工作任务这经常需要涉及很多IT部门

Tags: 

延伸阅读

最新评论

发表评论