色爱综合区,亚洲中文字幕黄网站,国产三级在线播放欧美,美国一级毛片aa,av无码,天天干,婷婷六月丁香91视频,免费的黄色网站4mmb

安全管理網(wǎng)

電力CSO必須熟悉風(fēng)險(xiǎn)管理

  
評(píng)論: 更新日期:2018年01月15日

目前,各級(jí)電力企業(yè)雖然專門成立了相應(yīng)的信息安全小組,形成了電力企業(yè)信息安全的決策層、管理層、執(zhí)行層等機(jī)構(gòu),確保了人員的配置和安全責(zé)任制的落實(shí),但還沒(méi)有明確設(shè)立CSO職位。信息安全小組通常由企業(yè)的一把手負(fù)責(zé),同時(shí),指定了安全專職人員負(fù)責(zé)整個(gè)企業(yè)的信息安全,實(shí)際上行使著CSO的職責(zé),這些安全專職人員可以稱為“準(zhǔn)CSO”。
  通常這些“準(zhǔn)CSO”是純技術(shù)的人才,熟悉某一方面的安全技術(shù)如防病毒、防火墻、入侵檢測(cè)技術(shù)等。然而,一個(gè)真正的CSO知識(shí)要全面,不僅要懂信息安全技術(shù),而且還要懂安全管理。

  1.熟悉風(fēng)險(xiǎn)管理
  風(fēng)險(xiǎn)管理是指識(shí)別電力企業(yè)的資產(chǎn),評(píng)估威脅這些資產(chǎn)的風(fēng)險(xiǎn),評(píng)價(jià)假定這些風(fēng)險(xiǎn)成為事實(shí)時(shí)企業(yè)所承受的災(zāi)難和損失,并采取一些解決方案預(yù)防風(fēng)險(xiǎn)的發(fā)生及損失補(bǔ)救措施。風(fēng)險(xiǎn)管理是電力企業(yè)安全管理的核心。
  要執(zhí)行風(fēng)險(xiǎn)管理,首先必須熟悉本單位的核心業(yè)務(wù)(如業(yè)務(wù)的流程、邊界等)和關(guān)鍵信息資產(chǎn)。哪些業(yè)務(wù)是關(guān)鍵的,需要采取高強(qiáng)度的防護(hù)措施進(jìn)行防護(hù);哪些業(yè)務(wù)是次要的,防護(hù)措施的強(qiáng)度可以低一些。同時(shí),要了解業(yè)務(wù)系統(tǒng)安全與運(yùn)行質(zhì)量性能的關(guān)系,以避免為了提高信息安全而大幅度降低網(wǎng)絡(luò)系統(tǒng)運(yùn)行的質(zhì)量和性能。因?yàn)樾畔踩菫樾畔⒒?wù)的,信息化最終是為企業(yè)業(yè)務(wù)穩(wěn)定持續(xù)發(fā)展服務(wù)的。
  其次,CSO要制定一個(gè)風(fēng)險(xiǎn)管理策略,該策略是企業(yè)整體安全策略的組成部分。風(fēng)險(xiǎn)管理策略需明確風(fēng)險(xiǎn)處置的幾種方式,如降低風(fēng)險(xiǎn)(采取各種安全防護(hù)措施,如加防火墻、入侵檢測(cè)系統(tǒng)等)、轉(zhuǎn)嫁風(fēng)險(xiǎn)(如買保險(xiǎn)等)、接受風(fēng)險(xiǎn)(基于企業(yè)的投入/產(chǎn)出比考慮,尋求企業(yè)投資與風(fēng)險(xiǎn)承受能力的平衡點(diǎn))等。因?yàn)榘踩窍鄬?duì)的,對(duì)風(fēng)險(xiǎn)的處置應(yīng)該有個(gè)度,如果風(fēng)險(xiǎn)處置的費(fèi)用超過(guò)了系統(tǒng)本身的價(jià)值,則再消除風(fēng)險(xiǎn)就毫無(wú)意義了,因此,應(yīng)制定一個(gè)合理的風(fēng)險(xiǎn)管理策略。
  第三,CSO要熟悉業(yè)務(wù)持續(xù)性運(yùn)行與災(zāi)難恢復(fù)的知識(shí),如保證業(yè)務(wù)持續(xù)性運(yùn)行的系統(tǒng)和數(shù)據(jù)的備份。并且配備必要的應(yīng)急設(shè)施和資源,如系統(tǒng)的啟動(dòng)盤、系統(tǒng)和網(wǎng)絡(luò)管理員的電話號(hào)碼、協(xié)助廠商的求助電話等。一旦企業(yè)網(wǎng)絡(luò)系統(tǒng)發(fā)生問(wèn)題,就可以統(tǒng)一調(diào)度,對(duì)安全事件快速響應(yīng),最大限度地降低企業(yè)的損失。

  2.熟悉信息安全理念和技術(shù)
  CSO應(yīng)對(duì)安全理念如信息安全模型、國(guó)際和國(guó)內(nèi)安全標(biāo)準(zhǔn)有較深入的認(rèn)識(shí)。安全標(biāo)準(zhǔn)包括安全策略的標(biāo)準(zhǔn)、安全評(píng)估的標(biāo)準(zhǔn)、安全產(chǎn)品選型的標(biāo)準(zhǔn)、安全工程實(shí)施的標(biāo)準(zhǔn)、安全管理的標(biāo)準(zhǔn)等,了解這些安全標(biāo)準(zhǔn)可以更好地指導(dǎo)信息安全的建設(shè)。CSO還應(yīng)熟悉常用的安全技術(shù)和安全產(chǎn)品,如防火墻、防病毒技術(shù)、加密技術(shù)、物理隔離技術(shù)等,了解他們的原理和部署等知識(shí),這可以提高CSO自身的素質(zhì),樹(shù)立自己在企業(yè)中的威信。

  3.良好的溝通和管理能力
  CSO要具備良好的上下溝通能力,因?yàn)槠髽I(yè)的安全管理制度和安全策略要貫徹執(zhí)行,必須得到企業(yè)高層領(lǐng)導(dǎo)的許可和支持,同時(shí)得到企業(yè)員工的理解。但在實(shí)際情況中,很多領(lǐng)導(dǎo)和員工都要問(wèn),我們企業(yè)在信息安全方面投入很大,那到底取得了什么效果呢?這時(shí)CSO要讓他們理解,網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的正常持續(xù)運(yùn)行,就是安全工程實(shí)施的效果。
  信息安全是“三分技術(shù)、七分管理”,這強(qiáng)調(diào)了管理的重要性,特別是要加強(qiáng)對(duì)人的管理。因?yàn)闊o(wú)論安全制度的落實(shí),還是安全技術(shù)和安全產(chǎn)品的布置,最終是由人來(lái)執(zhí)行的。但在實(shí)際中,往往人是最難管理的,這就要求CSO要具有很強(qiáng)的管理能力。
  CSO還應(yīng)熟悉安全法律和法規(guī),包括國(guó)家、行業(yè)以及企業(yè)的法規(guī),如關(guān)于涉密系統(tǒng)的聯(lián)網(wǎng)規(guī)定、系統(tǒng)日志應(yīng)保存的時(shí)間規(guī)定、系統(tǒng)和數(shù)據(jù)的備份規(guī)定、經(jīng)貿(mào)委的30號(hào)令等,并把他們應(yīng)用到企業(yè)的業(yè)務(wù)工作中去。
  目前,電力企業(yè)的“準(zhǔn)CSO”們要想成為一個(gè)合格的CSO,需在以下方面進(jìn)行努力:
  首先,要強(qiáng)化業(yè)務(wù)知識(shí)的學(xué)習(xí)。這些知識(shí)不僅包括風(fēng)險(xiǎn)管理、安全技術(shù)、安全標(biāo)準(zhǔn)等信息安全知識(shí),而且還包括企業(yè)自身的業(yè)務(wù)流程、邊界等。
  其次,要提高管理能力,特別是日常管理能力。
  第三,要加強(qiáng)與其他企業(yè)CSO的交流,其他企業(yè)如銀行、電信,甚至國(guó)外的CSO進(jìn)行交流,學(xué)習(xí)他們的成功經(jīng)驗(yàn),吸取他們失敗的教訓(xùn),爭(zhēng)取少走彎路。相信經(jīng)過(guò)這些努力,電力企業(yè)一定會(huì)涌現(xiàn)出一批優(yōu)秀的CSO。
.

網(wǎng)友評(píng)論 more
創(chuàng)想安科網(wǎng)站簡(jiǎn)介會(huì)員服務(wù)廣告服務(wù)業(yè)務(wù)合作提交需求會(huì)員中心在線投稿版權(quán)聲明友情鏈接聯(lián)系我們