开展信息安全风险评估工作,不单纯是一项技术工作,同时也是一份社会责任。鉴于此,作为企业的CIO,你的职责是什么?如何具体实施风险评估?
5月16日,在告别了“蓉城”之后,微软企业高层主管信息安全沙龙第四轮——“识别风险,驾驭风险”,再次来到了“羊城”。
在过去的9个月里,微软企业高层主管信息安全沙龙前三轮共13站的活动已经在北京、上海、成都、广州、深圳等地圆满举办,1000余名企业高层主管,对现代企业的安全体系和策略、如何防范网络威胁,以及如何保障业务的连续性有了全面、深入的了解。
信息安全是一个动态的复杂的过程,风险评估则是安全建设的出发点。而对于已经实施的安全措施,又该如何进行评估呢?
广州站的信息安全沙龙,主办方(本刊)有幸邀请到了北京大学软件与微电子学院网络与信息安全实验室周继军博士和微软公司大中华区首席安全官艾力克(Eric Ashdown)作为主讲嘉宾,来自政府、金融、电信等行业的70多名企业高层主管参加了本次沙龙。
首先,艾力克依据微软对信息安全的理解和经验,讲解了如何应对企业安全风险。艾力克不仅分析了目前威胁的发展趋势、中国信息安全市场的发展趋势,还介绍了微软的安全发展进程以及应对策略。其中包括制定安全政策(这是组织内部信息安全的基础、底线)、安全标准的一致性、深层防护措施以及监测实施情况。
周继军博士则在短短的一个小时内,从分析现状到展望未来,从国内概况到国外经验,从理论到实践,对信息安全风险评估进行了生动透彻的解读。
周继军博士建议,企业的CIO选择评估工具时应依据6大原则:1、能够适合企业环境的平台;2、能够精确地映射网络、应用以及进行攻击测试;3、数量评估工具漏洞库的更新速度要快和方式要灵活;4、报告的数量和内容翔实丰富,能够允许导出报表;5、支持不同级别的入侵测试以避免系统挂起;6、专业的售后服务。(T228)
|
