联想安全理念
联想安全理念
◢ "安全框架"
进行整体安全建设,应尽量避免用"宏观"或者"局部"的方法,而采用"微观"和"全局"的方法。
所谓"微观"是指从信息系统本身出发,对每个应用、每个设备逐项检视其安全需求,并给出相应的解决办法。这种方法正逐渐成为信息安全方法论的趋势。在国际上,越来越多的信息安全管理人员正在学习如何通过建立关键资产清单和风险分析来提出安全解决方案。
所谓"全局"是指从信息系统的所有层面、所有部分来考虑安全问题,而不是用"网络安全"来混淆"信息安全",或者以"内部安全"来混淆"整体安全"。事实上,信息系统的任何层次或部分,都不可能被完全从整个系统中剥离开来。
联想的"安全框架"方法通过为用户建立资产清单,进行风险分析、需求分析和选择安全控制等步骤,建立安全体系并提出安全解决方案。在"安全框架"方法中,我们通过调查和分析,依次为用户建立起"保护对象框架"、"安全需求框架"和"安全控制框架",并通过这些框架来保证方法的"微观"性和"全局"性。
◢ "动态风险管理"
在保障组织的信息系统安全性时,以"风险"为尺度进行安全管理,是目前最主要的安全方法。它意味着组织必须首先建立起衡量"风险"的标准,并采用各种手段对"风险"进行抑制和维持。虽然"风险管理"的方法已被广泛认可,但采用的组织依然非常少。其主要原因是组织衡量"风险"的成本太高。无论是聘用高级专家,还是周期性购买商业化的风险评估服务,都价值不菲。
联想的"动态风险管理"方法通过为组织固化风险评估体系,建立安全监控平台,利用安全管理服务动态监测风险,明晰目前的风险和变化趋势,并及时地控制和处理风险,从而达到"一切尽在掌握之中"。
---
大巧不工、重剑无锋
