信息安全是通过实施一整套恰当的控制措施才能实现,这些控制措施包括策略、实践、步骤、组织结构和软件功能。而信息安全管理的核心是安全风险管理,它涉及到多个要素:资产、资产价值、威胁、脆弱性、风险 、防护需求和防护措施。它们之间的关系如下图所示。
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /> <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
安全风险管理关系图
分析安全管理的关系图,不难发现,安全风险管理是一个动态管理的过程,会随着时间的推移和业务的发展而变化。许多企业尽管拥有了先进而昂贵的信息安全设备,但“政策”或“人”往往无法配合,产生了很大问题。因为许多安全问题不是因为产品的功能不佳造成的。即使企业设置了层层关卡,仍可能因为被破解的管理者密码、帮助台维修后未关闭的开放权限、轻易被共享的网络文件夹等管理盲点,为***及病毒开启后门。从这里也可以看出,企业信息安全是管理问题,而非单纯的技术问题。唯有完善的管理,才能降低安全风险,避免不必要的损失。