信息安全：IT安全团队的责任简析

文章来源：泛普软件

伊索的《The Boy Who Cried Wolf（狼来了）》寓言使我们联想到IT部门。即使是入侵、病毒、盗取数据、私有信息泄密每周都见于报纸头条，我们还是倾向于认为自己对IT安全的消息有免疫力；尤其是在我们的安全团队成功地阻止了这些明确的入侵之后。其实这并不意味着威胁有丝毫的减少。事实上，安全团队的成功对我们来说通常是不幸的，因为它会让我们放松警惕，因此可能引起组织的灾难性损失。

在多数组织内部，IT安全负责保护我们的信息资产不在未许可的情况下被访问或被不适当的访问。这个任务通常包含信息安全系统、灾难恢复、访问监控和其它积极的措施来保护企业资产。要做到这些，IT安全要创建策略、评估系统和基础设施弱点、计划措施来降低潜在的攻击或信息泄露。

IT安全还在应用程序开发项目中占据很重要的角色。今天，在新系统开发过程中应用开发经理将IT安全看作一个主要的风险承担者。IT安全的角色可能有多种形式。对于有些组织，IT安全将扮演一个项目顾问，在解决所有安全相关的问题上有专门的资源配合项目经理。

在一些组织中，IT安全团队的责任范围并不能清楚地定义。相反的，高层管理人员会提出一个一般性的要求，要求在所有领域都要符合他们的政策方针。在这个不幸的位子上，应用开发经理通常即面临灵活的商业需要，又面临锁定系统的验证和访问拓扑。这些相对的目标通常会导致项目风险承担者之间的冲突，他们要求项目出资方参与解决这个情况。

在IT安全团队任务比较广泛的组织内，安全通常扮演项目开发上的商业所有者，提供商业需求并获取应用程序的操作所有权。在支持IT安全任务的应用程序中，这种情况很常见。这样的应用程序的例子包括单一签名应用程序，电子邮件内容过滤，Web访问审计等等。

为了IT安全团队工作的成功，你应该清楚地确定组（group）的角色和在每个项目上的责任。这是项目范围开发阶段的一个标准步骤——没有这个步骤你就不应该开始项目。

来源：Builder.com.cn

发布：2007-04-22 10:12 编辑：泛普软件 · xiaona [打印此页] [关闭]

信息安全：IT安全团队的责任简析

泛普沈阳OA快博其他应用