信息安全问题在企业IT战略中受CIO重视的程度正日益提升。作为拥有40多万员工的百年老店,IBM在信息安全领域有一整套严密的流程和规范。
常驻上海的IBM新兴市场CIO办公室副总裁嘉瑞卡(Rekha Garapati)女士在北京接受ZDNet采访时表示,CIO在应对信息安全时通常会涉及五大领域:物理层安全、IT基础设施、身份识别、数据信息合规、应用系统和流程,而IBM针对这些领域已经总结出十条提升安全力的规范和措施。
IBM提升安全力的十大举措包括:
第一,建立风险意识和管理系统。IBM CIO办公室会针对管理层和员工做好沟通工作,让40多万员工了解安全政策。“员工认知能力的提升是阻挡恶意软件的第一道屏障,为了加强对员工的安全性的教育,IBM推出了《安全指南》,比如IT CS300和IT CS104是针对工作站的安全指南。IBM还是第一家发布博客安全指南的企业,我们制定了安全政策后,还花了大量金钱和时间让员工对于相关安全策略有所了解。”
第二,事件管理及响应。对出现的任何一个安全事件,都可以在管理流程上进行定义。IBM对恶意软件的汇报流程进行了简化,IBM全球任何一个地区的用户,如果遇到恶意软件都能采用明确清晰的信息和统一的途径进行汇报。“IBM有一个安全仪表盘,上面会把IT风险、业务流程风险、工作站安全风险等不同风险列出来。同时也对业务流程进行等级划分。”
第三,创建未来的工作场所。IBM有45万台PC、1.6万台服务器,目前IBM重点针对移动终端应用的策略以及如何对于客户和员工设定策略。
第四,通过设计提供安全服务。IBM强调使用应用系统和服务时,它们内部已经对于安全方面有所考虑,在设计当中有所体现。
第五,采取有效维护措施以确保基础设施安全。这里的重点是接入安全,IBM客户在接入网络和服务器时也按照相关的合规标准来保证其安全性。
