保证系统安全，CIO怎么做-信息化专区

保证系统安全，CIO怎么做

作者：来源于互联网编辑：纪伟 2008-03-23 00:00

　　如果资产遭受攻击，你公司将如何对付?如果你就是CIO，你又会怎么办?

　　不管愿意不愿意，首席信息官也是首席信息安全官。如果你公司的信息系统脆弱不堪，你必须对此负责。CIO要做的工作包括：

　　负责保障安全

　　CIO应该认为保障本公司计算机网络的安全、完整与可用性是自己的重要责任之一。这项工作不能外包出去。CIO应该有特许权，以便只要检测信息安全违反行为，就能随时收集、分析与调查事件，不管违反行为发生在何处。CIO应该拥有监视有人是否遵守信息保证政策的手段。董事会尤其是董事长的审查委员会应该对CIO加以监督，保证信息安全风险并不高于特定的期望。

　　CIO还应该指导手下的开发人员，确保信息安全成为信息系统设计不可或缺的一部分。把安全改成根据清白和诚实的假定而设计的系统常常不是费用过高，就是为时太晚，不值得为此一做。

　　配置独立的安全职员

　　大公司需要见识广、可信赖的专家员工，因为他们能够分析公司面临的危胁，实施措施以预防信息攻击。这包括要求员工和承包者等可信赖的内部人员给予帮助的那些攻击。这些员工应该监督下列事项：

　　信息安全保证。要把现有信息安全功能的质量、健全性和可靠性通知高层管理人员。

　　安全协调。确保影响信息安全的职能作为集成的流程而不是独立的任务加以运作。

　　事件评估。2评估并解释信息安全受到危及或有受到危及之嫌的每一个案例。

　　安全职员应该有权力审查处理信息的所有活动与程序，确保系统安全无恙。

　　公司还需要一个独立的技术审查组织，保证信息安全设计原则。如果没有独立证明，就通常会有这种危险，那些带来信息安全风险的人认识不到自己已经带来了风险。

　　保护安全预算

　　CIO应该力争使相当份额的信息系统资源投资于安全项目。安全资金面临两个问题：信息系统需要高昂成本;回报出现太迟。

　　关注密切的公司要为每个人划拨一定金额的预算，以承担安全成本：安全身份证、防病毒软件、因特网防火墙服务器、为途中的员工分别赋予安全识别号、加密软件、入侵检测系统、集中安全管理和安全检测职员。还要加上安全常规工作导致的延误与不便所带来的成本，这样一来，每年每个人的成本猛增到1000美元，高达工作站费用的10%到15%。

　　解决办法之一，就是禁止网络使用各种磁盘、软盘、可移动盒式磁盘和可移动硬盘，除非有一份可以核实、防止胡乱摆弄的使用记录可供参照。至少四分之一的拥有成本可追究到涉及可移动介质的头上。如果用户添加了不兼容或有错误的软件，他就造成了不利局势，结果加大了支持服务需求。信息安全的几乎每个漏洞都可以追究到通过可移动磁盘访问网络身上。

　　公司高层主管有时会认为以上的信息安全观点过于大惊小怪。我要对他们说：“至关重要的计算机设施出现造成严重损害的故障只是个时间问题。偏执狂，即担忧有人对自己构成危害的心态，并非总是基于想象中的恐惧。如果你想到有竞争对手希望你公司遭到危害，那么谨小慎微对生存而言也许绝对必要。”