安全風險管理 – 概述

/ 所有文章, 線上捕魚遊戲, 線上棋牌遊戲, 線上百家樂 / 作者:
2001 年 9 月 11 日的清晨,對於 Turner & Owen 律師事務所的工作人員來說,與往常一樣開始,該律師事務所位於自由廣場 21 層,與北世貿中心大樓隔街相望。緊接著,所有人都聽到了巨大的衝擊聲,他們的結構彷彿在地震中一樣顫抖起來。碎片從天而降。

不知道發生了什麼事,他們立即有序地離開了大樓——這要歸功於排空鑽頭的系統練習——他們在出去的路上可能會帶走任何數據。提交櫥櫃和計算機系統系統都需要留下。在隨之而來的災難中,自由廣場一號被毀,前十層樓也被翻倒——特納歐文的辦公室被殲滅。

雖然 Turner & Owen IT 團隊為他們的計算機系統製作了正常的備份磁帶,但這些磁帶實際上已被送到位於南世界職業設施塔的公司的一個部門,並且在南塔被摧毀時完全丟失了。意識到他們必須恢復他們的情況數據庫或可能會倒閉,弗蘭克·特納和埃德·歐文冒著生命危險,也爬到結構不穩定的自由廣場一號,並檢索了 2 台文件服務器及其最重要的記錄。有了這些細節,歐文特納律師事務所不到兩週就可以恢復工作。

人們可能會認為,在如此可怕的生命、住宅財產和細節損失多年之後,公司旨在保護其工人、財產和數據的手段肯定會有顯著的區別和翻新。然而,修改比一些人預期的更加穩定。一位不願透露姓名的信息安全專家聲稱:“一些本應 獲得CISM 認證的公司似乎實際上忽略了這條信息。”看看多年來一直在創造的一些模式自 9 月 11 日以來,出現了向好的變化的跡象——儘管對額外信息安全進步的需求非常明確。

自 2001 年 9 月 11 日以來,信息安全方面最明顯的調整之一發生在聯邦政府層面。各種各樣的執行命令、法案、方法和全新的部門、部門和董事會都集中在保護美國的框架上,重點是信息保護。

9/11 後僅一個月,Shrub 總統就批准了第 13231 號行政命令“細節時代的關鍵基礎設施防禦”,該命令成立了總統的關鍵基礎設施保護委員會 (PCIPB)。2002 年 7 月,美國國家元首布什發布了《國土安全國家方法》,呼籲成立國土安全部 (DHS),這肯定會引發避免、發現和應對化學、有機、放射性襲擊的運動,以及核(CBRN)武器。2002 年 11 月簽署成為法規的《國土安全法》使 DHS 成為現實。

2003 年 2 月,國土安全部部長湯姆·里奇(Tom Ridge)發布了兩項技術:“保護網絡空間的國家戰略”,旨在“讓美國人參與並裝備他們保護他們擁有、運營、監管的網絡世界的各個部分,或他們參與的”和“重要基礎設施和特技財產的物理安全國家戰略”,其中“制定了輔助概念,這些概念將支持我們保護基礎設施以及對我們的國家安全、治理至關重要的資產的舉措。 、公共衛生和安全保障、經濟形勢以及公眾信心”。

此外,在國土保護部的信息評估和設施安全 (IAIP) 局下,還成立了關鍵設施保障辦公室 (CIAO) 和國家網絡安全和安保部 (NCSD)。NCSD 的主要關注點之一是根據國家技術保護網絡空間的基本建議,建立一個綜合的網絡安全跟踪、評估和響應設施。

由於聯邦政府的所有這些任務都與保護包括關鍵細節系統在內的框架有關,人們可以相信肯定會對經濟部門的信息安全方法產生明顯的影響。但對保護網絡空間的國家方法的反應一直不溫不火,反對意見集中在其缺乏監管、動機、資金和執法。細節安全和安保專家的觀點似乎是,如果沒有可靠的信息保護法律和政府層面的管理,保護我們國家關鍵細節的做法,至少在私營部門,不會有很大的改變。

市場格局

然而,在私營部門似乎正在加速發展的一種時尚是更加強調共享安全相關信息的必要性,以列舉一些公司和組織,但這些信息是以保密方式進行的。為此,組織可以參與十幾個或兩個行業特定信息共享和評估中心 (ISAC) 中的一個。ISAC 收集信號,並對物理和網絡危險、易感性和警告進行分析和通知。他們向公共和私營部門通報保護基本信息技術設施、公司和個人所需的安全信息。ISAC 成員同樣可以訪問信息以及與其他各種成員提供的信息以及從其他來源(如美國政府、警方、

受到克林頓總統關於關鍵設施防禦的總統決策條例 (PDD) 63 的鼓勵,ISAC 最初在 9/11 前幾年開始形成;實際上,布什政府仍然支持成立 ISAC,以接受 PCIPB 和 DHS。

ISAC 存在於許多重要行業,包括用於信息技術的 IT-ISAC、用於銀行的 FS-ISAC,以及用於全球所有行業的 World Wide ISAC。在過去的幾年中,ISAC 的成員實際上已經激增,因為許多公司認識到參與 ISAC 有助於履行其保護關鍵信息的應有註意承諾。

從 9/11 事件中獲得的一個重要教訓是,公司連續性和災難恢復 (BC/DR) 計劃需要穩健並經常檢查。普華永道全球威脅管理解決方案總監 Richard Luongo 在襲擊事件發生後不久表示:“組織連接準備工作已經從讓審計師滿意的任意項目變成了監事會必須認真考慮的事情。” BC/DR 實際上已經確認了它的投資回報率,而且大多數公司實際上都非常關注確保他們的公司和信息在發生災難時可以恢復。

同樣,實際上也越來越關注風險管理補救措施以及如何將它們放在投資回報率以及企業的預算需求上。比以往任何時候都存在更多關於危險監測的研討會、書籍、文章和項目。雖然周圍的一些發展可以歸因於 HIPAA、GLBA、Sarbanes Oxley、Basel II 等法規,但 9/11 確實讓人們開始將危險和漏洞視為風險的一部分,以及什麼需要採取措施來應對這種風險。