- 快捷搜索
- 全站搜索
(3)加强制度的可操作性。这是一项针对性很强的工作,以内部防火墙、内部安全域的访问控制策略设置、IDS报警策略为例,在加强制度的可操作性上,可以采取以下措施:这些策略和系统开发的关系非常紧密,所以应该由研发中心开发部制定好策略,之后交测试部进行测试,最后在数据中心和各省分公司进行部署。
(4)巩固风险评估在信息安全中的地位。安全风险评估、IT审计和漏洞扫描所关注的侧重点不同:IT审计关注的重点在于流程是否合规以及合规的程度,漏洞扫描的关注点在主机、网络设备的脆弱性,而风险评估是对信息资产面I临的威胁、存在的弱点、造成的影响以及三者综合作用而带来风险的可能性的评估。风险评估的范围更加广泛,它是一个持续工作,是分级防护和突出重点的具体体现,具有不可替代性。
(5)通过各种激励手段强化执行力。总部对制度的落实要有创新的思路和方法,分公司则需要强化执行力。目前,强化手段可以包括如下内容:一是加强宣导,宣导需要注意的问题是反复、形式多样、领导以身作则;二是借用激励机制加以强化,比如将考核目标和职工的绩效挂钩。
(6)引入信息安全系统工程学。信息安全系统工程学是一个比较新的交叉学科,把系统工程学理论引入信息安全工程的建设过程中,是对信息安全建设中涉及的多种要素按照系统论的科学方法进行统筹规划的一种安全工程理论。引入信息系统安全工程学,加强研究和规范化信息安全系统工程、提高信息安全系统工程的成熟能力,能避免信息安全系统建设过程中不合理、不科学、不到位的现象出现,从而保障信息系统安全、正常的运营,促进信息化的发展。
(7)战略和战术同样重要。大多数人从事的工作是战术性工作,细节就尤显重要。信息安全管理需要从粗放型管理方式向精细化管理方式转变,否则,发生“千里之堤溃于蚁穴”的悲剧就悔之晚矣。
(8)适度安全。任何事情都有两面性,信息安全也如此,安全风险降低以增大资金投入、牺牲效率和性能为代价,一个好的信息安全保障系统就是有效控制安全风险和安全代价之间的平衡。
2.安全技术体系方面的对策
(1)强化技术研究的氛围。信息技术团队要认可和奖励专心研究技术的行为,以强化技术研究的氛围。信息安全是管理和技术两手抓,两头都要硬的系统工程,管理是手段,技术是支撑,有些安全问题单单依靠管理手段是无法解决的,技术问题必须依靠技术来解决。
(2)加强技术培训。有资料显示,IT知识更新周期为两年,也就是说,现在掌握的知识,两年后基本就过时了,解决这个问题的办法就是加强培训。培训的方式多种多样:可以把培训作为一种奖励手段、通过自学获得认证的给予报销和额外奖励,还可以开展团队内成员间的互相培训,鼓励内部教学相长,营造良好的学习氛围。
(3)追踪信息安全技术发展趋势。新的IT技术,如云计算、三网融合、物联网技术的蓬勃发展对信息安全也产生深刻的影响,新的信息安全产品也不断涌现,如IPS、UTM、异常流量管理、网闸等,原有的防火墙等技术也因为新技术的影响致使其体系结构不断变化。作为信息安全工作人员,需要熟悉新的安全技术产品,追踪新的安全技术发展方向。
3.团队建设与沟通管理方面对策
(1)建设专业化的信息安全团队。人是生产力中最活跃的因素,建立一支专业化的信息安全团队是重中之中。要真正做到定岗、定员、定编。另外,要打通专业技术人员晋升的通道,使广大的信息技术人员真切体会到从事专业技术和管理工作一样可以得到较高的工资薪酬和社会认同感。
(2)建设信息安全的互动交流平台。沟通能力是保障成功的关键因素之一。建立一个有效的信息安全互动交流平台对推动信息安全工作的更好开展大有裨益。
(文章来源:中国金融电脑)
在银行业信息化新阶段,信息技术风险也自然成为金融机构操作风险的重要方面
华融湘江银行致力于服务地方经济、中小企业、广大客户,全力打造成为客户信