3.建立数据等保,解决数据安全问题
随着业务的快速发展,一些企业单位积累和掌握了大量的客户信息、生产数据和运营信息,这些数据在业务系统中各个环节流转,单位个人或组织都有可能直接或间接从中获取到,而这些数据的泄漏、被篡改或不可用都将关系到企业单位的形象甚至存亡。
数据保护是一项看似简单但又难以实施的工作,主要是数据的便携、易操作、可复制等属性决定了数据面临各种风险。对数据进行保护前应做好充分调研,理顺数据的来龙去脉后再做有针对性的保护和控制。例如明确被保护的数据对象,数据对象所流转的环节,访问数据的对象以及访问的方式。同时根据靠近数据源处进行防护和控制的原则,对调研结果所列举的各种情况实施各种保护措施和控制手段。
4.统一终端标准,解决管理复杂问题
目前很多企业单位已部署了防火墙、防毒墙、入侵检测系统,但这些解决方案并不能完全消除来自内部授权用户的安全隐患。由于有不少用户缺乏安全意识或安全意识淡薄,不及时更新补丁,不安装防毒墙,随意访问外部网站等行为频频出现,从而造成个人用户终端成为病毒温床、黑客的跳板或数据泄漏的源头,以至于给终端、网络甚至系统的维护人员带许多额外的工作。要解这些问题就必须从用户终端抓起,一方面加强用户意识教育,另一方面规范和标准化终端的软硬件,并通过终端管理系统对终端操作行为进行有效地管控。
五、定期检查稽核,确保体系有效执行
检查稽核是保障体系的执行情况的体现。定期对保障体系的执行情况进行检查和稽核,有利于准确掌握保障体系的执行情况,并对不适应的地方及时做出修正和调整。为提高检查稽核的质量和效率,应结合人员组织、制度流程和技术手段的相关要点对检查点、检查方式、检查结果量化标准进行梳理,使检查与被检查人员有明确、统一的标准来执行检查稽核工作。
安全体系与安全意识
不管采用何种体系、管理手段或技术,每个管理和被管理者都应正视一个问题,那就是造成风险和隐患的主要因素还是在其中活动的人或组织,只要有一个人或组织在主观或客观上的大意都必然成为企业单位的安全短板。纵然再多的制度、流程、技术和手段也无法做到面面俱到,而且这些都是相对被动的方法,容易造成个人或组织产生抗拒感和消极观念。基于疏导为主、防堵为辅的原则,应采用螺旋式交替方式,在不断对制度流程和技术手段提高的同时不断加强个人和组织的安全意识教育,使制度流程、技术手段与安全意识形成良性的促进循环、相辅相成。
IT基础设施的安全建设是一项长久且持续的任务,提高整个企业单位的整体安全意识更是一项任重而道远的工程。在安全建设的道路上没有特效药可速成,这一切都有赖于企业单位领导层与全体员工齐心协力来共同完成。
