古語云：“亡羊補牢，猶未為晚”。隨著信息化的飛速發(fā)展，企業(yè)的信息安全正受到日益嚴峻的挑戰(zhàn)，近年來，很多大企業(yè)都遭受到了***而泄露數(shù)據(jù)的事故，更何況一些中小企業(yè)或個人。最近的iCloud信息泄露事件，不僅“坑到”了眾多好萊塢女星，也再一次在信息安全領(lǐng)域拉響了數(shù)據(jù)危機警報。

創(chuàng)新互聯(lián)公司從2013年開始，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項目網(wǎng)站設(shè)計、成都網(wǎng)站設(shè)計網(wǎng)站策劃，項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命，1280元南充做網(wǎng)站,已為上家服務(wù),為南充各地企業(yè)和個人服務(wù),聯(lián)系電話:18980820575

企業(yè)在受到***數(shù)據(jù)泄露后，尤其是對外部，如果不能正確處理，將導(dǎo)致事態(tài)惡化，并對企業(yè)品牌、業(yè)績造成二次打擊，更有甚者會帶來進法律風險。如何有效的處理，這其實是《信息安全管理實施指南》即ISO/IEC17799:2005的最后三個部分的內(nèi)容：信息安全事故管理、業(yè)務(wù)連續(xù)性管理和符合性。

 

   一、沒有外部安全管理團隊協(xié)助

 

這是很多企業(yè)常犯的錯誤，對信息安全沒有引起足夠的重視。有時候數(shù)據(jù)泄露的嚴重程度超過了企業(yè)自身的處理能力，這時候企業(yè)最好能有外部安全服務(wù)團隊的協(xié)助。尤其是對于一些中小企業(yè)，在自身技術(shù)和實力不夠的情況下，猶為重要。

這不僅僅是在事故發(fā)生后，需要外部安全管理團隊的支持，在日常的信息安全管理過程中，也需要外部安全管理團隊提供信息安全方面的建議和信息安全審計。這類服務(wù)應(yīng)當在制定業(yè)務(wù)連續(xù)性/事件響應(yīng)計劃中就予以考慮。

 

二、沒有信息安全的唯一領(lǐng)導(dǎo)

 

數(shù)據(jù)泄露往往涉及公司多個部門，而各個部門都有自己的頭，一旦發(fā)生數(shù)據(jù)泄露等重大影響的信息安全事故，各部門各自為陣，效率低下。

企業(yè)應(yīng)該成立信息安全委員會，必須有一個首席信息安全官的職位，能夠在信息安全事件響應(yīng)計劃中起到總指揮的作用，策劃和協(xié)調(diào)整個災(zāi)難恢復(fù)過程，確保從公司高層到普通團隊成員都隨時了解最新進展。

 

三、缺乏溝通計劃

 

溝通是兩方面的，一方面是企業(yè)內(nèi)部的溝通，業(yè)務(wù)連續(xù)性計劃團隊內(nèi)部的溝通。另一方面是企業(yè)外部的溝通，對消費者、用戶或公眾的溝通，尤其是媒體的溝通，這可能是對于公眾服務(wù)的企業(yè)適用。

缺乏透明的溝通機制會導(dǎo)致麻煩，而錯誤的溝通信息將導(dǎo)致錯誤的行動，這將延誤整個事件的處理速度并制造新的混亂。事件響應(yīng)團隊成立后，每個人的職責都需要明確定義，并向外部顧問提供一個完整的聯(lián)系列表，這在業(yè)務(wù)連續(xù)性計劃中定義。

企業(yè)應(yīng)當為數(shù)據(jù)泄露事件準備一個資料詳實，切實可行的媒體溝通計劃。快速有效的媒體溝通能避免以訛傳訛式的報道。

 

四、謀定而后動

 

數(shù)據(jù)泄露事件往往需要在信息并不完整或者信息快速變化的情況下做出快速反應(yīng)。企業(yè)在數(shù)據(jù)泄露事件發(fā)生的同時就應(yīng)當啟動應(yīng)急處理流程，等待全面掌握信息再采取行動的做法可能會錯過最佳時機。

 

五、不向消費者提供補救措施

 

消費者應(yīng)當永遠是信息安全事故的核心，這意味著在發(fā)生信息安全事故時，如數(shù)據(jù)泄露后企業(yè)應(yīng)當盡可能通過各種渠道通知用戶采取正確措施保護個人隱私數(shù)據(jù)，以避免更大的損失。

 

六、有計劃但卻無法執(zhí)行

 

業(yè)務(wù)連續(xù)性計劃一旦建立后，應(yīng)初期測試并更新，以確保BCP的更新和有效。同時也需確保團隊中的所有成員能夠知道這個計劃，能夠明確他們在業(yè)務(wù)連續(xù)性和信息安全中的責任，知道計劃啟動后他們的角色。這樣才能在信息安全事故發(fā)生時做到”養(yǎng)兵千日，用兵一時。”

 

七、沒有外部法律顧問

 

在發(fā)生嚴重的數(shù)據(jù)泄露事故時，有可能會接收到來自用戶或消費者的起訴。除非你的內(nèi)部法務(wù)部門對所有數(shù)據(jù)隱私相關(guān)法律了如指掌，委托一位公司外部的，有數(shù)據(jù)泄露相關(guān)經(jīng)驗的律師幾乎是必須的。

 

八、缺乏事故后的善后計劃

 

很多企業(yè)經(jīng)常”好了傷疤忘了疼“，信息安全事故處理完畢后，應(yīng)當制定一個善后計劃，一方面與顧客和利益相關(guān)者保持良好溝通，另一方面，尋找系統(tǒng)脆弱點并積極修復(fù)，避免類此事件再次發(fā)生。

與客戶和投資者分享你在信息安全技術(shù)和服務(wù)上的投入和改進，這將有助于重建品牌和信任。

 

有興趣的朋友也可參考《信息安全管理實施指南》，進一步發(fā)現(xiàn)自己企業(yè)中在這方面的漏洞，謝謝！

網(wǎng)頁題目：信息安全事故中企業(yè)常犯的錯誤
鏈接地址：http://chinadenli.net/article28/gsjjcp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站建設(shè)、搜索引擎優(yōu)化、動態(tài)網(wǎng)站、App開發(fā)、Google、網(wǎng)站內(nèi)鏈

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)