CSO必须关注的几个问题

　　2008全球信息安全形势将发生新变化，未来的信息安全威胁会有以下的转变:

　　内部威胁逐渐展露: 2007年企业内部“员工”首次超过“黑客”成为造成安全事故的主要原因，内部员工所造成的安全危险成为信息安全事件的重要组成部分。

　　安全攻击手段变得更加复杂: 随着企业安全措施的不断进步，安全攻击也变得越来越复杂。迹象显示如今电子邮件病毒已经没有2005年时那么流行，但是系统有效用户身份的滥用、社会工程学、网络钓鱼攻击以及对于已知应用系统弱点的攻击会变得更频繁。

　　保护数据隐私将会得到进一步关注: 尽管在保护数据隐私方面取得了一些进展，但步伐不够快: 到2007年，22%的企业设立了首席隐私官; 56%的企业没有定期检查隐私政策是否持续执行; 61%的传输数据经过加密，但在更多领域，像数据库、共享文件、笔记本电脑和可移动媒体里的数据没有加密，成为数据泄露事故的源头。

　　开始关注合作伙伴的安全: 许多企业没有意识到，即使数据是由第三方运行和储存，他们仍然有责任保护数据: 76%的企业没有保留其客户数据的记录; 少于一半(41%)的企业要求第三方(包括外包服务商)遵循隐私政策; 42%的企业针对外部合作伙伴、客户、供应商及服务商建立了安全基本线; 65%的安全政策没有明确设定让合作伙伴和供应商遵循的方法。

　　2008中国CSO需关注的领域，中国企业同样面对以上的各项挑战，在以下的领域需要尤其关注:

数据隐私: 在许多数据隐私保护的领域中国都相对落后，超过一半(59%)的企业都不给员工提供关于隐私政策的培训; 大多数企业(69%)没对网络交易进行安全管理。

　　信息安全保障: 综合人文、流程、技术等因素，中国在信息安全保障方面仍然较为滞后: 只有31%的中国受调查对象建立了定期的威胁和弱点评估; 72%的中国企业承认他们没有知识产权保护策略和流程; 70%的中国企业承认他们没有业务持续/灾难恢复计划和流程。

　　安全事故的影响: 中国企业需要关注安全事故对企业带来的影响，因为不够成熟的信息安全保障措施已经影响到商业运作，包括财务损失(23%)以及知识产权被盗取(18%)等问题。

　　信息安全架构: 中国企业虽然雇佣了许多全职人员投入信息安全。但是，74%的公司指出他们的组织没有首席信息安全官，而59%的中国公司没有总体信息安全战略(调查总平均值为43%)。

　　知识产权: 只有28%的中国公司有知识产权的政策。

　　对中国CSO的三大建议：

　　企业普遍把信息安全看成为一个技术问题。既然主要的投入是在技术方面，那回报也主要来自技术: 工具会告诉你在发生的事情，并阻挡最低级的攻击。但技术一般比较被动，仅限于当一些预定的规则一旦被违反，就会发出警报和事后对异常情况报告。犹如博物馆窗户上的玻璃破碎传感器，对于警告有人破窗方面特别有效，但对油画如何被盗以及为何被盗，传感器不会也不能做任何解释，更不会帮助预防下次窗户被打碎或下一次油画被盗。

　　当安全人员看到了问题时，往往并未发现所有的问题。企业会发现钱花错了地方，还会发现好的员工带着良好的愿望把工作带回家，因为不慎丢失笔记本电脑，或将数据放入其家庭电脑时，会发生安全隐患。这种例子枚不盛举。

　　信息安全已经不再是一个纯技术问题，要从根本上解决，企业必须制定战略计划。安全投资必须从重技术转向重情报，要树立风险分析和防范思想。安全管理人员必须同时考虑三个相关的领域: 管理流程、人员和技术。只有这样，企业才会走出被动局面。

对战略及管理流程的建议：

　　制定总体信息安全战略，使信息安全在企业里有明确的定位;

　　制定业务持续及灾难恢复战略和计划，减低一旦发生安全问题对企业所可能造成的影响;

　　制定配置架构的标准和流程;

　　制定致力于知识产权和信息保护的政策和流程;

　　执行定期的穿透测试、威胁和弱点评估及风险评估。

　　对人员设置的建议：

　　设立首席信息安全官(Chief Information Security Officer / Chief Security Officer)和首席信息隐私官(Chief Privacy Officer)岗位，并由有适当经验的人员担任;

　　聘请富经验的信息安全顾问协助企业制定安全策略和处理信息安全问题。

　　对信息安全技术的建议：

　　使用适当的安全技术，如远程登录技术和VPN技术来加强对系统和数据的访问控制;

　　配置间谍软件(用户活动监视软件)、恶意广告软件及垃圾信息的侦察和入侵侦察工具;

　　配置网络防火墙、用户活动监控工具和内容过滤工具。