回答一些关键问题,可以帮助用户有效地确定评估标准和划分
信息安全计划的等级。每个问题的答案都利用相同的评定标准进行打分,这样用户就可以确定需要改进的领域。
在评估有关人员要素的战略时,用户可以询问以下问题:是否以书面形式制定了
信息安全战略,战略是否定期更新,是否涉及一致性检测或认证,公司将
信息安全战略定性为被动的还是主动的。
在评估人员要素的组件时,用户可以询问以下问题: 是否拥有专职
信息安全人员,是否由相应称职的人员来领导,是否有正在执行的培训计划等等。
在评估人员要素的管理问题时,可以通过以下问题来确定:是否定期向行政管理人员提交状况报告,行政管理人员是否拥有
信息安全计划,
信息安全计划是否可以强制执行等等。
在评估
信息安全计划的过程与技术要素时,可以询问以下相关问题:
信息安全过程和策略便于通过公司的内部网查看吗?安全过程组件部署到位了吗?(安全过程组件包括账户管理、安全意识、应急响应、安全漏洞扫描和可以接受的使用组件。)安全技术部署到位了吗?(安全技术包括防病毒软件、防火墙、安全漏洞管理和入侵检测系统。)
制订路线图与实施 一旦确定
信息安全现状与理想状态的差距,用户就可以动手制订路线图,以弥补当前与未来
信息安全计划之间的差距。利用从业务需求分析和差距分析中得到的信息,用户可以开发所希望的安全架构。
行之有效的路线图通常为弥补
信息安全差距提供多种方案。路线图应当包括今后两年的战略计划以及更长远的计划。用户可以选择符合业务优先重点的路线。公司应当对进展情况进行密切监视,以确保改进持续进行,并不断得到管理层的支持。
通过确定关键业务需求、分析
信息安全架构的当前状况、划定未来需要改进的领域以及为实现
信息安全目标制定灵活的路线图,用户可以大大加强自己的安全优势。
随着保护信息资产的人员、过程和技术部署的到位,用户就拥有了确保信息保密性、完整性和可用性所需要的资源。
(c112)
|
服 务 CIO 推 进 信 息 化 
