国内IT系统信息安全风险浅析
人类正进入信息化社会,社会发展对信息资源的依赖程度越来越大,从人们日常生活、组织运作到国家管理,信息资源都是不可或缺的资源,没有各种信息的支持,现代社会将不能生存和发展。在信息社会中,一方面信息已成为人类重要资产,在政治、经济、军事、教育、科技、生活等方面发挥这重要的作用,另一方面计算机技术的迅猛发展而带来的信息安全问题也日益突出,信息资产比传统的实物资产更加脆弱,更容易受到损害,需要加以妥善的保护。
虽然,经过多年的实践,我们从管理与技术采取了各种措施,但国内IT系统仍存在一下信息安全风险:
·缺乏架构在公司层面的信息安全组织,设立在IT部门的信息安全组织缺乏必要的执行力及对业务信息安全的管理能力。
·信息安全系统不够健全,缺乏统一的信息安全方针与策略,某方面的“短板”,降低了整体的信息安全水平。
·预警、防护、监控和应急响应的技术体系不够完备,缺乏对安全技术与产品的统一规划及统一管理,没有充分发挥安全产品的效能。
·对IT相关的业务流程风险缺乏认识,不能从流程的层面上对IT风险进行有效控制。
·内控和监管功能或缺失,或不完善,缺乏可稽核历史数据的存储与管理,对于业务数据修改予删除无存证记录,一旦出现问题,业务数据恢复与调查难度很大。
·开发与管理人员变动频繁,导致系统运作混乱,极易产生客户资源被盗风险。
·技术投入资金不足,软/硬件设备老化无法及时更新,导致日常运行风险。
随着国内信息化程度的提高,组织的主要业务系统都构架在IT系统上,对信息的实时性、可用性及安全性有着越来越高的要求,如果不对以上所述的信息安全风险加以有效控制,将给组织的业务持续性带来极大的危害。
本文来自:信息安全培训 http://www.h***
虽然,经过多年的实践,我们从管理与技术采取了各种措施,但国内IT系统仍存在一下信息安全风险:
·缺乏架构在公司层面的信息安全组织,设立在IT部门的信息安全组织缺乏必要的执行力及对业务信息安全的管理能力。
·信息安全系统不够健全,缺乏统一的信息安全方针与策略,某方面的“短板”,降低了整体的信息安全水平。
·预警、防护、监控和应急响应的技术体系不够完备,缺乏对安全技术与产品的统一规划及统一管理,没有充分发挥安全产品的效能。
·对IT相关的业务流程风险缺乏认识,不能从流程的层面上对IT风险进行有效控制。
·内控和监管功能或缺失,或不完善,缺乏可稽核历史数据的存储与管理,对于业务数据修改予删除无存证记录,一旦出现问题,业务数据恢复与调查难度很大。
·开发与管理人员变动频繁,导致系统运作混乱,极易产生客户资源被盗风险。
·技术投入资金不足,软/硬件设备老化无法及时更新,导致日常运行风险。
随着国内信息化程度的提高,组织的主要业务系统都构架在IT系统上,对信息的实时性、可用性及安全性有着越来越高的要求,如果不对以上所述的信息安全风险加以有效控制,将给组织的业务持续性带来极大的危害。
本文来自:信息安全培训 http://www.h***