CIO如何做好身份管理
【IT168 信息化】这年头,身份外泄事件频传,但身为CIO,需要从用户将身份委托给企业保管的角度来看待此事。
身份管理解决方案
身份管理部署经验谈
随着更多企业开始导入身份识别管理的解决方案,企业也学到规划身份识别管理、导入身份识别管理和实际运作时的初步经验。
企业界担心IT部门要如何在确保信息安全的状况下,同时兼顾身份识别架构的功能和效率。加上顺应法律规范的重要性越来越高。这些原因都影响到IT部门对于现有身份识别数据的管理决策。有些早期的采用者,已经学到应该如何规划、建置、和维护管理架构的经验。
1. 对建置成效的了解越高,导入成功的机会也越高
许多身份识别管理的服务(密码管理、管理的授权),以前就有单独的解决方案。一个重要的经验是绝对不要对执行成效作出过度的保证。许多失败的计划,问题都是出在执行初期对于计划要求的了解和分析上。有些问题让支持者对于执行成效,产生不正确的预期。事实上,复杂的身份识别管理包含很多变动因素。如果对预期成果有更多的了解,就可以避免之后的难堪局面。
2. 必须要有管理阶层的支持
导入大型的身份识别管理项目,常常需要六位数以上的预算和超过一年以上的时间,项目也常常会再细分为好几个阶段。如果没有管理阶层的支持(不是来自IT单位的支持,而是事业部门的主管)是不会成功的。管理阶层不单只是自己要了解项目的价值,还要能够向其它同仁作出清楚的解释。扮演这个角色的人士,必须能够沟通IT部门和事业单位的意见,并且和信息安全的负责人、身份识别管理的最大受益部门(人事或财务部门)的高层,保持良好的关系。达不到这些要求的计划,大多都会失败。
3. 身份数据必须定义为一项策略性的资产,并作为规划时的基础
身份识别管理的一个关键,就是要整合身份识别在业务运作上、应用上和IT基础架构上的定义。此外,也需要考虑未来重复使用的情况。身份识别变得这么复杂的一个原因,是因为现有系统(操作系统、应用程序、安全系统)各有不同的定义。目录和超目录(Metadirectory)已经试着在身份识别的架构上,解决这些问题。如果身份识别有一个完整的定义,企业就比较不会重复过去的问题。
4.身份识别的管理,就是系统整合的管理
身份识别管理已经在IT基础架构当中存在一段时间,要有一个比较完整的解决方案,就必须包含现有的系统和当前的身份识别管理工具,将新旧方案有效地整合。有时可能必须对更换或重复使用作出一个正式的评估,但是一般来说,仍然是一个
依照应用类别选择非常好的方案的市场。有的厂商已经开始统整一整套的解决方案(例如IBM的Tivoli Identity Manager,等等),值得注意的是,还都需要透过定制化的方式,才能整合新旧系统。
5. 身份识别涉及组织当中权力的归属和使用
导入身份识别系统,其实是计划当中最简单的一部份。大多数对身份识别数据的管理人员,可能会把身份识别管理当作自己职务上的威胁。所以身份识别管理项目,必须透过灵巧的交际手腕,才能避免这样的问题。身份识别管理项目,同时也会涉及分布式和集中式的争议。还好,一个好的解决方案加上好的组织流程,就可以提供一个有效的架构。身份识别管理也直接和信息安全、信任、风险管理的权力角力相关,这样的关系也会反映出,身份识别管理的解决方案对信息安全政策的帮助。
6. 健全的身份数据架构是身份识别管理的先决条件
许多的IT部门已经花了几年的时间,建立企业的身份数据架构,以便精简目录、建立有效的目录整合策略和统一的授权系统。虽然这样的架构并不是导入身份识别管理解决方案的必要条件,但是复杂的身份数据架构,将会提高身份识别管理的成本。一个好的身份数据架构,是良好辨识管理的先决条件。
7. 身份识别管理是组织流程的议题,而不只是技术上的问题
身份识别管理的解决方案,如果没有明确的组织结构和流程,是不可能对身份数据的管理有任何帮助。这个问题其实从规划阶段就存在,只是到了实际运作的时候才出现。没有明确的组织架构和流程,就不应该做身份识别管理。明确的组织架构和流程,应该是身份识别管理产品的必要条件。
8. 身份识别管理的实际运作,必须在组织上作出相应的调整
这不是指增加新的员工,而是要针对辨识管理所需要的新角色,作出调整。身份识别管理的实际运作,信息安全作业和系统管理的工作,将会最需要调整的部份。
有时候遵循业务运作所带动的方向,可能可以确实减少复杂度并降低风险。
越来越多企业开始采用身份识别管理的解决方案,除了作为营运上的支持力量之外,也作为强化信息安全政策及简化应用程序支持之用。大多数的IT部门应该在规划阶段,就要对身份识别作出明确的定义,并且锁定打算改进的问题。IT部门在排定优先级时,应该将重点放在信息安全和遵循法规规范上,并确保规划当中,不会因为想要解决太多问题而失焦。
身份管理解决方案部署
