企业风险安全管理的需求正在推动身份识别管理和内容监视等技术的发展。但是,有太多的企业正在依靠技术而不是政策来处理风险管理问题。风险管理是种关键推动因素,你需要搞清楚需要做什么,而且应该把钱花在什么地方。《企业风险安全管理技术手册》汇集了众多企业风险的安全管理的策略,相信对企业的管理人员会有很好的借鉴意义。
“云”过去常被用于对各类基于Web应用的通称。现在它普遍用于指网格或实用新型计算模式,在这点上它取代了本地硬件和存储器输入/输出。企业正在纷纷向云这个方向发展,只是一些企业比另一些发展的要快。然而,转向云这个方向使企业面临许多需要去考虑的风险。这些风险的核心在于许多云/ Web 2.0的供应商无力满足法律与规章的要求。
IT工作领域中有许多的最佳实践,企业风险管理也不例外。我们在控制企业的风险工作中总结出了以下一些最佳实践:
在管理供应商合同的时候,非常重要的一个环节是将过程化考虑进去。订立合同不是孤立地去承诺某种义务,而是企业风险管理中综合信息安全计划的重要组成部分。将风险管理策略文档化有助于提醒金融机构 “应该”考虑某些类型的合同保护。
想想你们公司有的基础设施有多大可能正被不怀好意的黑客盯上。你的基础设施的信息具有多大的价值?该怎样阻止黑客窃取你的信息呢?你可以开展一个员工意识和公司风险评估策略的培训,风险评估是信息安全的核心。为了保护系统,必须决定风险的等级。风险等级越高,就越需要保护。风险评估包括对IT架构的三个部分的评估:威胁、漏洞和风险。
专家答疑
技巧
对称加密(encryption)和非对称加密算法之间有什么区别,尤其是涉及到加密、签名和哈希(hash)时?
对有“遵从审计”历史的企业来说,建立一个以信息安全而不是遵从审计为目标的安全文化的最佳实践是什么?
对于企业密码保护,有多少无效的登录尝试会引起账户锁定,锁定的时间一般会持续多久?关于帐户锁定策略有没有可行的样本?
本周
本月
