企业数据面临诸多风险。信息安全有助于最大限度地降低这些风险。伴随的IT安全概念为实现高水平的信息安全提供了支持。
保护数据时的主要重点应该放在 IT 上,因为大多数攻击都是远程发生的。 IT安全概念用于保护IT系统和数据。该概念旨在确保识别和最小化潜在危险。
它对数据进行分类并定义适当的措施来保护数据。公司制定并执行政策是为了特别确保信息安全的三大保护目标(机密性、完整性和可用性)。
IT安全概念的一个基本特征是其整体方法。重点不是单个领域(例如特定的软件解决方案),而是考虑公司的整个 IT 领域。
范围
通常会为整个公司制定 IT 安全概念。但是,可以限制范围并仅针对子领域(例如部门、业务部门或地点)制定和实施该概念。
在企业环境中,为各个子公司开发和实施单独的 IT 安全概念并不罕见。
IT 安全概念的结构
IT安全概念的结构取决于该概念所基于的标准/方法。下面我们根据 ISO 27001 介 新加坡电报数据 绍 IT 安全概念的结构。它分为八个阶段。
库存分析:分析的目的是确定保护要求,从而定义 IT 安全概念的范围。为此,对信息网络进行了定义,它不仅考虑了基础设施组件(例如应用程序、硬件、软件等),还考虑了组织和人员组件。
IT结构分析:一旦定义了信息网络,就会详细记录它(应用程序、业务流程、IT系统、通信连接、场所、安全基础设施)。
保护要求确定:在此阶段,确定所有关信息和业务流程的保护要求。这是在保护要求类别的支持下完成的。确定潜在损害(就违反保护目标而言:机密性、完整性、可用性)并将其分配到三个类别之一(正常、高、非常高)。
建模:保护网络使用五个层次进行建模/描述:总体方面、基础设施、IT 系统、网络和 IT 应用。这些层(也称为基本保护模块)可用于确定合适的安全措施。