超级会员免费看
组织应对网络安全的策略与实践
1. 信息安全的物理与逻辑控制
在信息安全领域,存在着物理和逻辑两种不同类型的控制措施。例如,文件系统可以基于用户或用户组设置文件和目录的访问控制,这些访问控制由安装在磁盘上的主机操作系统通过设计和逻辑来实现,但并非物理强制实施。这意味着,如果磁盘可以被移除,或者系统安装了另一个能够读取磁盘数据但不受逻辑访问限制约束的操作系统,就可能导致数据泄露。
因此,除了依靠技术来实施特定实体的策略外,还需要采取其他控制措施,如使用锁闭的房间或建筑物来防止硬盘的物理移除或篡改其内容。通常,将物理和逻辑控制相结合,才能实现信息安全的纵深防御。就像英国国家医疗服务体系(NHS)发布了许多特定系统的政策,如电子员工记录(ESR)系统特定政策,明确了目标、角色和职责、系统访问条件、访问机制、程序和流程、实施以及审计等内容。
2. 网络安全中的角色与职责
在大型组织中,许多角色都与计算机安全有着直接的关联。以下是一些关键角色及其职责:
|角色|职责|
| ---- | ---- |
|董事会|聘请首席执行官(CEO),通常设有负责确保良好财务管理(包括信息系统审计)的子委员会|
|执行团队|CEO及其团队直接负责管理组织在网络安全方面的总体目标。在美国《萨班斯 - 奥克斯利法案》下,CEO对计算机安全负有法律责任,这促使许多组织设立专门的首席信息安全官(CISO)角色|
|首席信息官(CIO)和首席信息安全官(CISO)|CIO负责管理组织内的所有信息,CISO负责管理安全策略和实施。CISO通常向CIO汇报,但也可能向CEO进行次要汇报,在科技公司中甚至可能进入董事会|
|职能经理|如人
订阅专栏 解锁全文
扫一扫
7万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
