電信運營商：信息安全超越IT

Jambo

來源：賽迪網(wǎng)-軟件世界

構(gòu)筑信息安全體系，并非只有IT。IT的目標是運營獲利，而非其他。沒有一個體系是完整的，也沒有一個體系運營是沒有風險的，所以必須很清楚知道風險管理機制。

信息安全風險只是所有風險中的一部分，所以必須在整個企業(yè)運營的框架中考慮信息流的重要程度。信息安全必須根據(jù)業(yè)務(wù)需求做出判斷。

要建設(shè)信息安全管理體系，必須了解企業(yè)目前的規(guī)范流程，并且獲得企業(yè)最高管理層的支持。然后進行培訓、定義作業(yè)和信息安全方針。因為所有的操作必須向下展開，90%操作都會無法完成。因此，必須要求領(lǐng)導懂IT技術(shù)也有核心思想，要像談判一樣不斷循環(huán)建立這個系統(tǒng)。

在信息安全管理體系中，信息安全的核心應(yīng)該以風險評估為基準，不能以達標為目標。信息安全管理體系不僅要依賴IT手段，還必須跟其它所有管理體系，包括SOX法案等聯(lián)合進行。

在風險評估方法中，可以采用定性或者定量的風險評估方法。然而，對于一般的企業(yè)來說，定量分析難度極大。倘若數(shù)據(jù)庫積累不夠，便無進行定量分析，企業(yè)必須積累3到5年，才可以嘗試定量分析，否則沒有獲得數(shù)據(jù)積累的效益。

比較流行的方法是以資產(chǎn)驅(qū)動風險評估方法。應(yīng)該盤點企業(yè)風險評估中所看重的企業(yè)資產(chǎn)，而這個過程將非常復雜。然而信息無處不在，要理清所有信息，難度也非常大。國際企業(yè)的慣例是要構(gòu)筑安全體系，首先分析風險差異。一般先進行信息安全風險評估，然后定出解決方案，確認實踐與完成風險處置計劃的方案。

風險評估的方法，在ISO13335中有一個方法論，據(jù)此評估外部風險和內(nèi)部的脆弱點。只有威脅和脆弱點都被評估出來，才能夠保證安全。脆弱點是心肝肺出現(xiàn)問題，威脅是感冒和病毒，而它們結(jié)合才會產(chǎn)生風險。

在信息安全領(lǐng)域，還必須注意機密性、完整性和可用性。尤其是電信運營商，必須保證業(yè)務(wù)的不間斷性，如果因為自身管理疏失，就會造成客戶流失。盡管機密性、完整性、可用性跟信息安全無關(guān)，信息安全的定義很狹義，但這些都值得重視，要構(gòu)筑信息安全體系，也并非只有IT手段。

juns

樓主分析得好。頂一下。

SuperCube

只有威脅和脆弱點都被評估出來，才能夠保證安全。脆弱點是心肝肺出現(xiàn)問題，威脅是感冒和病毒，而它們結(jié)合才會產(chǎn)生風險。

評估是知道有什么問題。
脆弱點應(yīng)該是薄弱的，可以被威脅利用的地方。