一�、近期開展的工作
(一)、啟動《“信息安全與構(gòu)建和諧海西”文集》的征稿工作���;
(二)��、組織信息安全顧問深入企業(yè)進行免費安全咨詢服務(wù)�����。
二����、信息安全顧問(CISSP)的觀點:
(一)�����、企業(yè)一�����,安全診斷
1、未打漏洞補?�?;
2、存在用戶空口令���;
3�����、存在IP猜測或非法接入的安全風(fēng)險��。
(二)����、企業(yè)二���,安全診斷和建議
1�����、網(wǎng)絡(luò)安全:加強無線網(wǎng)絡(luò)安全管理���、優(yōu)化防火墻安全策略�;
2��、主機安全:活動目錄備份�、加強安全審核機制���、建立共享權(quán)限限制�����、完善安全服務(wù)��、主機名統(tǒng)一命名�����、漏洞補丁自動升級����;
3�、客戶機安全:補丁管理不及時、用戶存在空密碼�、共享文件存在安全漏洞��;
(三)�、企業(yè)三�����,加強安全管理的建議
1����、開展基礎(chǔ)工作
(1)資產(chǎn)評估(重要、不重要)�;
(2)安全措施的實施:網(wǎng)絡(luò)、主機(服務(wù)器�����、客戶機)�����、應(yīng)用系統(tǒng)(數(shù)據(jù)庫���、代碼安全)
(3)安全審核:內(nèi)審和外審相結(jié)合��。
2����、建立安全管理框架
(1)建立安全策略:方針、標(biāo)準(zhǔn)(強制)���、指南(推薦性)��、實施步驟;
(2)開展安全教育:以案例和網(wǎng)絡(luò)環(huán)境為基礎(chǔ)�����,進行實戰(zhàn)性的教育訓(xùn)練��;
3����、圍繞安全標(biāo)準(zhǔn)(如ISO27001)建立安全管理體系
三、工作小結(jié)
(一)實踐認識
1�����、信息安全工作的好壞與領(lǐng)導(dǎo)的重視程度有著密切聯(lián)系����;
2�����、信息安全是三分技術(shù)��、七分管理����,但前提是把技術(shù)做足���;
3�、尋找并實施一套符合企業(yè)實際的信息安全管理國際標(biāo)準(zhǔn)(如BS7799或ISO17799)�。
(二)外部推動
結(jié)合國家信息系統(tǒng)安全等級保護制度來保障信息安全工作的合規(guī)性。
(三)內(nèi)部加強
企業(yè)CIO不要因為領(lǐng)導(dǎo)重視還不足�、資金投入不夠,而忽視信息安全的基礎(chǔ)工作(比如����,不花錢的教育訓(xùn)練、升級補丁以及外部咨詢服務(wù))���。有一句老話你還記得嗎����?“宜未雨綢繆,勿臨渴掘井”���。
FJCIO觀點:福建CIO信息安全咨詢服務(wù)活動不是檢查指導(dǎo)����,而是基于自愿原則開展的免費服務(wù)����。我們將從企業(yè)實際出發(fā),組織信息安全專家顧問開展信息安全科普服務(wù)���,推動企業(yè)采用IT治理的理念和手段(如CoBIT,ITIL)來建立和完善CIO制度���,協(xié)助有關(guān)信息安全主管部門做好等級保護和風(fēng)險評估的基礎(chǔ)性工作�。
