|
2. 核心级计算机安全项目
核心级计算机安全项目的目的是处理机构内整体的计算机安全管理。
与所有的资源管理一样,可以使用多种手段和具有成本效益的方式来进行核心级计算机安全管理。良好管理的重要性是怎么强调也不过分的。对计算机安全项目的核心级管理也具有向下的趋势。特别应该引起注意的是,这造成了决策失误在整个机构中广泛传递的巨大风险。管理者在努力达成其目标时,需要考虑建立计算机安全项目的所有可能选择的全面影响。
核心计算机安全项目的益处核心安全项目应该提供两种不同类型的益处:
- 提高整个机构中的安全效率和经济性
- 提供集中式的执行和监督能力。
核心计算机安全项目帮助对整个机构中安全相关资源的有效使用进行协调和管理。这些资源中最重要的通常是信息和金融资源。
管理者需要良好和及时的信息以便有效完成其任务。但是,多数机构难以做到在金字塔式的资源架构中收集和有效处理信息并在机构中对信息进行分发。
计算机安全相关的信息可以从私营或公共机构得到。这些机构经常做为公共服务机构提供信息,当然也有一些私人组织提供付费信息。但是,既使是免费或便宜的信息,其信息收集人员的相关费用也可能很高。
内部的安全相关信息,如哪些规程是有效的、病毒的感染、安全问题和解决方案需要在机构中分享。通常,这些信息是针对机构的运行环境和企业文化的。
在机构级别进行管理的计算机安全项目为在整个机构范围内收集内部安全相关信息和根据需要对其进行分配提供了一种途径。有时机构也可以与外部组织分享这些信息。
有效导入信息的另一种方法是增强核心计算机安全项目影响外部和内部决策的能力。如果核心计算机安全项目人员能够体现整个机构的利益,那么其建议就更能够引起上层管理人员和外部机构的关注。但是,要有效地做到这一点,系统级计算机安全项目和机构级计算机安全项目之间就应该有很好的沟通。例如,如果一个机构考虑将其大型机整合到一个站点(或考虑将现在一个站点中的处理分布出去),核心项目的人员就可以对其所牵涉到的安全问题提出初步意见。但是,要想使其意见更具权威性,核心项目人员就要实际了解将要进行的系统级计算机安全项目预计进行的信息更改将会带来的安全影响。
除了能够帮助机构更经济有效地使用信息,计算机安全项目还能够帮助机构更好地使用本来就不多的安全经费。机构可以开发专门技术然后进行分享以减少重复为同一服务签订合同的需要。核心计算机安全项目可以协助进行信息分享。
位于核心计算机安全项目层次上的人员也可以开发他们自己领域的专门技术。例如,他们可以加强自己在应急计划和风险分析方面的技巧以协助整个机构完成其重要的安全任务。
除了允许机构分享专门技术以节约金钱以外,核心计算机安全项目可以利用其所处的地位整合需求以便机构可以基于对安全硬件和软件的批量采购来协商优惠折扣率。它还可以协助诸如战略计划、整个机构范围的事件处理和安全趋势分析等活动。
除了协助机构提高计算机安全项目的经济效益和其效率,核心项目还可以包含独立的评估或执行职能以确保机构的分支单位更经济有效地保护资源和遵循既定策略。有多种理由需要在常规的管理管道中设立监督职能。首先,计算机安全是机构资源管理的重要部分。这是一项无法转嫁或放弃的责任。其次,进行有效的监督可以使机构在避免导致尴尬处境的前提下发现和解决问题。第三,机构可能发现外部机构无法发现的问题。机构比外部机构更了解其资产、威胁、系统和规程;人们与内部人员合作时更坦白。
|
