ISO27000认证怎样应对信息安全管理的漏洞
企业信息化的普及和网络技术的快速发展,公司规模越来越大,管理系统也越来越复杂。企业信息安全管理成为企业经营过程中円益突出的问题,为了保证企业信息的安全,企业采取了大量的措施去维护,购买了大量的信息安全产品,可是并没有从本质上改变信息安全管理的漏洞。企业安全管理的漏洞主要表现在以下几个方面:
(1)信息安全系统散而孤立
有些企业尽管支出了大量的资金在购买安全信息产品上,可是这些防毒软件以及防火墙之类都是孤立的系统,没有统一的管理平台,因此无法实现信息安全管理的目标。由干各个安全产品许多都是单.独幵发的,难以从中了解具体情况。
假若企业网络出现攻击时,各个信息安全系统都发出报警声音,这样没有关联性,难以整理出有效的处理措施。
(2)无法有效落实安全管理
企 业员工对信息安全的认识不高,公司购买防病毒软体,有的员工会由于懒惰而并不去安装或者安装好了过了几天又自己在系统管理员不知情的情况下卸载掉了。有的 员工还会认为信息安全不属于自己的事情,属于专门的信息安全管理部门因此,难以使得企业全体员工都关注和认识到信息安全的重要性。
(3)缺少对安全工作的考核
大多数企业都缺乏1个可供企业各层管理者在安全管理和实施方面的平台,使得企业领导难以对企业安全的问题及时得到信息回馈,也难以验证管理部门安全管理和实施的状况。
(4)缺少对信息安全风险的意识
企业缺乏以信息安全为核心的风险管理模式,对企业关键的资产以及业务等都缺少相应的风险评机制和工具,使得无法及时找出企业存在的问题和威胁,也难以事先作出相应的控制措施。
(5)全面的审计手段缺乏
企业经常面临着未经授权或是不IH当的访问,缺乏一种高效且全面的审计手段。因此,难以对这些可疑的访问进行了解和监督,也就难以对企业的安全情况进行评估。
(6)缺乏集中的安全系统补丁下载和更新功能
随着网络病毒越发娼狂,系统提示安全补丁的下载更新、大量服务器以及顾客端的时常更新成为1个麻烦的问题。由于作为1个大中型企业,内部设备数量太多,尤其是顾客端数量.仅仅靠少数的管理员进行管理,难以承担如此大量的工作。