请选择 进入手机版 | 继续访问电脑版

ITIL,DevOps,ITSS,ITSM,IT运维管理-ITIL先锋论坛

 找回密码
 立即注册

扫描二维码登录本站

QQ登录

只需一步,快速开始

查看: 1670|回复: 2

[Cissp&Cisa&等保实践] 信息安全也须行为规范来保证(转)

  [复制链接]
发表于 2011-5-20 16:39:44 | 显示全部楼层 |阅读模式
作者:梁德力

本篇文章版权由ECF和HP所有

如果和企业管理者谈到信息安全的事情,一些管理者首先会想到自己企业的信息是否被盗,如何防止内部员工拷贝一些关键的信息,往往会不在意业务处理过程中的信息安全性,他们忽略了信息的录入、修改和删除的过程。他们或许不知道这些过程中的信息安全也是很重要的,这也是内部审计的一个重要环节。


信息的修改和删除,这是企业信息处理过程中经常遇到的行为,一些企业信息录入错了,他们没有一个严谨的流程来约束信息的修改,有时处理起来很随意,甚至一个人就会直接处理了;有时一些企业会把已经录入的订单删除,自己重新录入一个新的订单。表面上系统反应的数据正确,但是订单对应的主人已经物是人非了,一些人以权谋私的过程也被掩盖了。财务部门的红字冲销原则已经告诉我们,对于错误的处理,必须采取红字冲销,并在备注中说明原因,而这个冲销过程反映出数据处理的真实过程。其实信息系统的数据处理过程,也是这样一个过程,在处理订单错误时,希望通过冲销处理,再重新录入一个正确订单,这样系统即可准确体现业务过程,同时冲销的处理,也会体现当初人员的行为,以利于后续工作改进。


信息系统的数据安全管理本身并不复杂,处理业务过程也很明确和简单,但是在一个企业里要约束企业的业务人员处理信息的行为,没有明确制度约束是无法实现的。仅仅靠IT部门去管理这个过程是很难的,IT部门对业务行为的约束,是以企业的行为准则为前提的。只有完善了企业的行为准则,将行为准则灌输给每个业务部门,并将其落实到业务过程中,企业的信息安全才会得到保证。

本篇文章版权由ECF和HP所有

转载自:http://blog.163.com/marchliang@1 ... 877201144104250665/




上一篇:2010年中国大陆地区信息安全意识调查报告
下一篇:【zt】由离职雇员泄密事件看企业内部安全威胁
发表于 2011-5-30 17:33:40 | 显示全部楼层
在一个企业里要约束企业的业务人员处理信息的行为,没有明确制度约束是无法实现的。
赞同。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

参加 ITIL 4 基础和专家认证、长河ITIL实战沙盘、DevOps基础级认证、ITSS服务经理认证报名

QQ|ITIL先锋论坛 ( 粤ICP备11099876号 )|appname

GMT+8, 2022-7-2 23:00 , Processed in 0.096581 second(s), 29 queries .

Powered by Discuz! X3.4 Licensed

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表