联系我们
18022213930
地址:
佛山市南海区桂城街道简平路12号天安南海数码新城6期1座三层 
邮箱:
3642319@qq.com
电话:
0757-86312199
传真:
0757-86312199
手机:
18022213930
常见问题 News
当前位置:首页 > 新闻中心 > 常见问题

信息安全工作对企业有什么价值

添加时间:2018.09.17

企业进行任何的管理(guǎn lǐ)活动,其目的无非有以下两点:一是希望得到更多的产出,能够赚更多的钱;二是希望减少不必要的损失,降低可能产生损害的风险(risk)。

    信息安全工作当然也不例外,公司逐渐投入越来越多的资源,配备越来越多的安全岗位人员,布置越来越多的信息安全产品(Product),实施越来越多信息安全工作项目,当然希望能够使信息安全工作的价值发挥到最大。
    那么,信息安全工作的价值到底体现在哪里呢?下面先从控制风险、减少损失这个方面进行简单的说明。
    信息安全工作本身就是由风险(risk)驱动的,信息安全工作最直接的价值,当然是控制风险、减少损失。
    虽然说明信息安全工作在这个方面的价值体现并不算太难,但主要问题(Emerson)是最高管理(guǎn lǐ)层可能听不懂这么专业的内容,或者对这些技术细节问题不是很感兴趣。HACCP认证确保食品在消费的生产、加工、制造、准备和食用等过程中的安全,在危害识别、评价和控制方面是一种科学、合理和系统的方法。但不代表健康方面一种不可接受的威胁。
    所以说,想要在控制(control)风险(risk)、最大化减少损失方面体现(tǐ xiàn)信息安全工作的价值,就需要将信息安全工作所起到的作用,用管理层能听懂并感兴趣的方式进行沟通,说白了就是要学会讲故事。
    那么,要想将这个故事讲的足够精彩,需要抓住哪几个主要的脉络呢?
    首先,是抓住内部安全工作效果的脉络
    内部安全工作效果这条脉络,无非是没有太多的安全投入时,安全漏洞(weak points)很多、安全事件频发、安全损失(loss)很大,随着安全投入的增加、安全工作的深入,安全漏洞越来越少、安全事件逐步降低、安全损失得到有效的控制。
    这条脉络讲故事是不算太难,但关键问题是有没有机会向大老板讲,就算有了机会敢不敢将这些和盘托出。坦白讲如果知无不言、言无不尽的讲出来,这样做的难度和风险无疑都是很大的。
    曾经就有个企业的安全负责人,经常越级向大老板汇报安全问题,希望大老板能够重视安全工作,而被直属上级领导直接挤兑走了。这位安全负责人有次出差回来,发现自己的办公室空了,所有东西都被收走了,然后愤而辞职。
    如果造成这样的结果,对公司来讲当然是巨大的损失(loss),对于安全工作来讲,也是得不偿失。
    其次,是抓住外部安全威胁难度的脉络
    外部安全威胁难度(difficulty)这条脉络,主要是说明外部威胁对企业造成损害变得越来越困难了。比起内部安全工作效果,外部安全威胁难度这条脉络就不是那么容易说的清楚了,因为威胁是无处不在的,并且是很难衡量的。
    当然,事情往往就是这样,容易事情的很难让人信服,内部安全工作效果讲的再好,由于是站在安全工作自身的角度谈问题,令人信服的程度就会大打折扣。如果能够客观的对外部威胁能够进行一个分析(Analyse),这会使安全工作所体现的价值令人信服程度大大增加。
    举个例子说明一下。
    有个公司由于缺乏基本的安全控制(control),导致自身的大量客户信息在网上被公开叫卖,而且每一条客户数据都极其便宜,也就是两毛钱一条数据。发现问题后,进行了基本的安全控制,效果立马得到体现了,原来两毛钱一条数据变成了一块钱一条数据了。加强安全控制后,网上贩卖的数据大大减少,而且数据的价格变得贵了非常多,已经到了
  三、四块钱一条数据了。
    最后,是抓住第三方客观评价的脉络
    第三方客观评价这条脉络,比较适合面临着上级单位评级、监管巡查、安全审计的企业,对于一般性的企业如果没有面临这些合规需求,就算找个第三方来进行评价,也很难有说服力。ISO22000认证适用于整个食品供应链中所有的组织,包括饲料加工、初级产品加工、到食品的制造、运输和储存、以及零售商和饮食业。另外,与食品生产紧密关联的其它组织也可以采用该标准,如食品设备的生产、食品包装材料的生产、食品清洁剂的生产、食品添加剂的生产和其它食品配料的生产等。
    如何利用第三方客观评价,使信息安全工作价值得以体现(tǐ xiàn)呢?下面举例进行说明:
    比如,在央企、国企的信息化测评中,信息安全工作是占一定比例的评分的,虽然所占比重不是很大,但也能够从侧面反映信息安全工作的价值。HACCP认证危害的含义是指生物的、化学的或物理的代理或条件所引起潜在的健康的负面影响。食品生产过程的危害案例包括金属屑(物理的)、杀虫剂(化学的)和微生物污染,如病菌等(生物的)。今天的食品工业所面临的主要危害是微生物污染,例如沙门氏菌、生态氧157:H7、防腐剂、胚芽菌、峻菌、肉菌等。
    在金融(finance)行业的监管检查与风险评级中,信息安全工作的价值就能够很大程度的体现了,如果信息安全工作效果很好,风险评级分数领先,会给企业客户以信心,并带来业务的增长;相反,信息安全工作开展(kāi zhǎn)不到位,会直接影响(influence)企业的风险评级,风险评级过低会被监管机构处罚,领导可能丢了乌纱帽不说,还会影响业务的发展。
    对于上市公司(Company),尤其是在美国上市的企业,面临着萨班斯法律的约束,并且每年需要接受内控审计。在内控审计中,信息安全审计占有一定的比重,那么,信息安全工作所取得的效果甚至可能影响(influence)股价的走势,影响主要投资者的信心。
    企业信息安全工作,在控制(control)风险(risk)、减少损失方面所体现的价值,今天就先描述到这里,下一次从提供服务、创造利润的方面,再来深入阐述一下信息安全工作价值。