企业风险安全管理的需求正在推动身份识别管理和内容监视等技术的发展。但是,有太多的企业正在依靠技术而不是政策来处理风险管理问题。风险管理是种关键推动因素,你需要搞清楚需要做什么,而且应该把钱花在什么地方。《企业风险安全管理技术手册》汇集了众多企业风险的安全管理的策略,相信对企业的管理人员会有很好的借鉴意义。
“云”过去常被用于对各类基于Web应用的通称。现在它普遍用于指网格或实用新型计算模式,在这点上它取代了本地硬件和存储器输入/输出。企业正在纷纷向云这个方向发展,只是一些企业比另一些发展的要快。然而,转向云这个方向使企业面临许多需要去考虑的风险。这些风险的核心在于许多云/ Web 2.0的供应商无力满足法律与规章的要求。
IT工作领域中有许多的最佳实践,企业风险管理也不例外。我们在控制企业的风险工作中总结出了以下一些最佳实践:
在管理供应商合同的时候,非常重要的一个环节是将过程化考虑进去。订立合同不是孤立地去承诺某种义务,而是企业风险管理中综合信息安全计划的重要组成部分。将风险管理策略文档化有助于提醒金融机构 “应该”考虑某些类型的合同保护。
想想你们公司有的基础设施有多大可能正被不怀好意的黑客盯上。你的基础设施的信息具有多大的价值?该怎样阻止黑客窃取你的信息呢?你可以开展一个员工意识和公司风险评估策略的培训,风险评估是信息安全的核心。为了保护系统,必须决定风险的等级。风险等级越高,就越需要保护。风险评估包括对IT架构的三个部分的评估:威胁、漏洞和风险。
专家答疑
技巧
由供应商补丁周期之间漫长的时间间隔为企业移动设备带来了风险。在获得补丁前,企业是否可以在移动设备上打上虚拟补丁,以减轻这种风险?或者还有其他办法吗?
一些厂商和服务提供商声称他们提供符合PCI DSS的基于云的服务,抛开厂商的自我宣传,这是真的吗?
为确保企业的合规工作,违反程序,安全政策等在需要时可以用来诉讼,当安全团队被要求与法律部门密切合作时,CISO应该和律师谈什么?
本周
本月
