信息安全風險可控需要建立標準
在2016上海世界移動大會上,GSMA Intelligence研究總監Tim Hatt介紹到,金融和專業服務是2015年受到網絡攻擊最多的兩個領域,而美國和中國則是全球企業網絡攻擊最大的兩個目標。他強調,強有力的主動防護對於企業的信息安全來說是至關重要的。
杜躍進認為,數據安全是當今最重要的信息安全風險之一。對於企業來說,要做數據安全的風險可控,首先應該解決的問題是如何建立一套科學的評估模型,這也是他近年來一直努力推動的方向。
他將這個企業數據安全能力的評估模型分解為四個因子:一是組織內部整個的組織架構設置,是不是適合於企業的數據保護工作;第二是組織內部的體制機制設計,是不是能夠確保相關的組織和人員發揮預期的作用,例如有沒有獲得相應的授權;第三就是技術手段,在數據的整個生命周期裡面,是不是有完備的數據安全相關技術手段;第四個部分是人員的能力,各個數據安全崗位上的人員是不是符合其崗位所需要的能力要求。
“把這四個因子捏到一起,又可以拆分成幾十個指標項,從而可以用來衡量一個組織機構的數據安全的能力到什麼程度了。”杜躍進說。
這個模型是動態的,什麼叫動態的呢,剛才說的四個因子,都會發生變化,在新的數據安全威脅下,形勢可能不一樣,會發現過去的組織結構跟機制設計不行了,新的攻防技術越來越厲害了,技術產品要升級了。這些東西都算出來之後,應該是有一個值出來,可以用來衡量一個機構它的數據保護能力。在杜躍進看來,可以通過這個值來判斷安全能力是好還是不好,但這個值是永遠達不到100分的。
據了解,目前杜躍進領導的團隊,提出的這套模型,正在爭取國家跟國際標準組織的認可。“標準的提出是第一步,我們的第一步總要邁出去,最終我們會看他有沒有價值。”
|
