管理对策建置重点

管理对策建置重点

维护信息安全的具体对策就称为管理对策,思考管理对策时,除了将目前所考虑到的项目列出外,还必须分成几个层面,如技术面、实体面及人员面等面向的对策分别思考。「技术面对策」就是运用某种技术架构以保障信息安全,换句话说,也就是所为了网络安全对策,具体来说,如防火墙、防病毒软件或是IDS等。「实体面对策」就是运用实体的部门机构以保障信息安全,此对策和网络无关,是过去已经存在并执行的作法,具体来说,如门禁管理、服务器机房安全锁锁定或是警卫巡逻等。「人事面对策」指的就是对人员的一举一动提高警觉以保障信息安全,对于社交工程的防御行动等就属于这一类的对策,具体来说,像是计算机、媒体携出/携入管制、邮件附加档使用管制、严禁传送机密信息等。管理对策并非拟定完成后就永远高枕无忧了,最重要的就是运用PDCA(质量管理)循环,与时俱进持续更新对策。

一般来说,安全性提高了,方便性却跟着降低,反之亦然,PDCA循环这一类的手法有助于决策者在安全性和方便性中间找到一个最佳平衡点。