首頁 > 焦點新聞

六個參考步驟: 從企業安全策略 認識合規

作者:Tufin -2020 / 03 / 25 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪
企業營運風險可能來自於供應鏈互動關係,地緣政治問題,新興行業競爭等狀況。目前有許多指南和法規可指導公司減輕其網路風險,如:ISO / IEC 27002資訊安全管理,國家標準暨技術研究院(National Institute of Standards and Technology, NIST)網路安全框架,PCI DSS支付卡產業資料安全標準(Payment Card Industry Data Security Standard,PCI DSS)等。
 
對網路安全法規要求的遵從已經從“列表式清單”的思想轉變為嚴格的計劃,人們可以認真地滿足這些要求,對其進行持續實施並通過定期稽核加以證明。 現在,許多公司的變更管理程序都考慮“任何可能情況”,以防止在批准或實施變更之前違反政策。
 
如何透過網路安全標準和組織政策達到法遵要求
至今IT基礎架構越來越複雜,多樣技術的異質環境,通常包括實體數據中心以及虛擬化的私有雲和公共雲平台。 多數網路人員顯少能全面清楚了解混合IT環境的安全性和合規性。 以及如何在舊版,虛擬和雲端的平台上評估風險和讓策略的應用,可以一致性。
 
安全策略管理公司Tufin提供六個參考步驟應用於自身企業內,來維持企業安全上可以合規的關鍵要素。

步驟1:定義企業安全策略
企業安全策略是一種營運導向的結構,用於說明公司如何保護訊息和技術資產。制定關鍵安全策略時應考慮以下所有面向:企業必須遵守的外部法規要求和行業標準(例如PCI DSS,NIST,SOX,HIPAA,NERC CIP等);以及公司遵守的最佳做法。公司的安全策略應該包括如何教育員工保護公司資產,如何執行安全措施,評估安全策略有效性,以及必要的更正以確保策略進行。
 
步驟2:檢視現有的網路拓撲
隨著企業採用虛擬化,雲計算,行動運算,軟體導向的架構等,拓撲結構發生了巨大的技術轉變。企業必須深入了解其網路拓撲,才能獲得管理的資訊例如,機房,雲和混合網路中現有的網路拓撲等。該網路圖還包括業務應用程式,以及跨供應商和平台的安全策略。

步驟3:定義系統架構並根據企業策略重新塑造
根據企業策略最好的安全區域來定義系統架構,保護數據和應用程式。 只保護這些設備已不再能滿足需求,更需要內部網路分段將敏感資產與一般區域隔離。準確標示網路拓撲圖可以幫助分析由傳統及次世代防火牆建立的網路分段,並確定哪些隔離動作。

1
推薦此文章
4
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…