|
 |
推荐文章 |
|
|
|
|
|
|
|
|
|
|
|
风险消减-实施安全计划
实施安全措施得力与否取决于安全计划制定的好坏,此外,安全计划的某些跟进活动也
应该一并施行,比如安全意识培训。
为了实施安全措施,安全计划中罗列的所有必要步骤都应该被贯彻执行,这需要相关责
任人真正理解并执行计划安排的行动。
为了保证措施实施的连续性和一致性,与安全措施相关的文档就显得非常重要。我们知
道,组织进行风险管理之初要制定信息安全策略,尽管安全策略对相关领域的措施和机制有
明确规定,但那是更高层次上的,是战略性的,只对具体措施的选择起指导作用,为了有效
实施安全措施,组织还应该制定更详细的程序和指示,这些低层次的、战术性的文档是对安
全策略有力的补充。安全措施文档(例如防火墙和IDS 策略设置)、安全策略、应急计划、
业务连续性计划、灾难恢复计划,等等,都是信息安全文档体系中必不可少的组成部分。
安全计划实施之后,组织应该立即进行遵守性检查(Compliance Checking)和测试,确
保安全措施被正确实施并发挥了应有的效力。为了进行测试,组织应该制定周密的测试计划,
通过多种途径(包括渗透测试、过程复查等)来验证安全措施的实施结果是否满足安全计划
的目标要求。
一旦安全措施的实施结果得到了验证,管理层应该予以确认,新的系统和新的环境开始
运转,风险消减告一段落。应该注意的是,风险管理是个动态发展的过程,任何时候,只要
有新变化引起了新的风险,都应该采取恰当的行动予以应对。 |
|
|
|
|
|
特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。 |
|
|
|
|
|
责任编辑: 原点 |
投稿作者: 本站收集 |
|
|
信息来源: 网络 |
录入时间: 2005-5-30 |
|
|
|
| |
|
设为首页
加入收藏
总编信箱
投稿或申请专栏请先 [登 陆]