目前互联网行业发展*,越来越多的企业进行企业内部的信息安全认证,通过这一证书,不仅可以向客户等一些相关方证实自己企业的实力,还可以更优化与企业内部的管理。
新的内容将使企业的侧重点不同,从上面的论述中明显可以看出新标准在企业建立信息安全体系之前加重了对企业内外环境信息安全的重视。
在构建信息安全体系之前需要企业*考虑其组织环境、企业资源、管理现状,了解其发展所面临的机遇与风险,从而高标准、高精度、高要求来对待信息安全管理工作。
行政,管理制度问题,没有人去为可能出现的风险担责。工程师往小了说维护的只是几台设备而已,但往大了说。维护的可能是整个企业的信息命脉。大家都清楚这上面的数据,业务一旦出现问题后果是怎样的。这样大的责任。不是,也不应该完全有运维工程师来承担。
缺乏完善,坚固的系统架构,因为系统的容灾,备份能力不足,在没有安全**的情况下。更新补丁。升级程序无外乎在没有安全带的情况下从高空绳索中走过。相比这种事情大家做过一次便再也不会去冒*二次险了。
权衡利弊,以目前的情况分析。维持现状的安全性要**修补漏洞的安全性。这也是让很多工程师维持现状的原因。
想要形成好的规范。定期修补漏洞,补丁,首先就要有完善的备份,容灾手段,让你的错误可以有其他弥补手段,其次要有高层**的支持,不能出了问题就由干活的人背黑锅。
网络设备,由于部分网络设备没有替换硬件,比如上网行为管理,计费等设备,所以要整理出来这些设备出现故障,又没有硬件更换时候怎样去临时恢复业务,
服务器,包括服务器的系统或硬件的损坏,怎样将现有的业务在较短的时间内恢复回来。做了虚拟化以后这部分就简单了一些。大规模的安全事件,比如病毒爆发,根据以往的经验制定的如果出现大规模的网络问题,怎样去应急处理,然后查找问题。
虽然暂时制定了远程数据备份的方案,但条件不满足。现在暂时也并没有完全实施起来。这其中还没有陈列出机房环境问题的应急预案,比如机房电力,空调,还有受其他自然灾害影响后的预案,因为如果出现这样的问题。我们现有的资金和环境就真的无能为力了。
不过一个正常的应急预案应该要做的更全面,更稳妥一些,根据你的业务重要性,数据重要性来有所侧重,建立一个完善的应急预案,较终的目标就是你的任何一个网络设备,服务器,应用系统,甚至是机房出现了意外,你都有相对的处置方案来尽可能少的减少带来的损失。
至于标准化。不仅仅是一套升级补丁的流程,还包括各个方面。申报的备件是否即使购买。申请修改的系统结构是否得到支持,是否有良好的后备技术支持,**对于安全的重视程度
kdd520533.cn.b2b168.com/m/