文章来源:本网原创 责任编辑/万青华 2007-10-31
Arun DeSouza负责Inergy Auto
motive Systems公司的安全政策以及其他更多的事情。该公司是一家向世界各地汽车制造厂商出售塑料燃料系统的制造商。由于4500名雇员分布在18个国家,因此,不可能统一地制定安全政策。DeSouza解释了他制定Inergy安全政策的战略,交流了他对正确的身份管理如何能够使安全性成为业务推动因素而不是负担的看法。
问:您在Inergy公司中担任何职?
我是“战略规划与信息安全”的全球小组的负责人。该小组是信息系统与服务部(我们称为IS&S)的一个部门。我对Inergy公司CIO Francois Fromange负责,扮演双重角色:我管理IS&S治理计划,如预算与风险管理。我还担任Inergy的CISO。
问:Inergy为什么把战略规划职务与安全职务合并起来呢?
将这两个领域合并在一起的中心主题是治理和流程。当然,战略是一种持续进行的过程,它有助于促进IS&S与公司之间的契合来确保IS&S满足当前和未来的需要。但是,当我们从事推动业务的新的技术项目时,不应当忘记安全性的影响。另一个关键因素是确定新投资的优先次序和管理IT项目资产组合。
问:您所提到的治理是什么含意?
治理是确保不同的企业目标在一个合适的纪律框架中协调一致的流程和纪律。治理有几个不同的方面,包括会计和财务控制。再有就是以资产管理为中心的治理:确保项目不超出预算,实现它们承诺的价值以及与企业目标相一致,还有与治理有关的遵从性。对于重要的业务管理学科概念来说,治理实际上承担的是全面监管的角色。它不只是IT,治理可以扩展到业务本身。
问:谁参与制定Inergy的安全政策?
我们有一支跨不同职能单位的团队,涉及人力资源和IS&S以及法律部门。这支团队由各方代表组成,但目标是拿出基于行业最佳实践和国际标准组织指导方针的核心政策集合。
我们利用母公司的政策和行业最佳实践开发了基本政策,然后我们通过NetMeeting和电话会议,一节一节地完善和细化它。
问:您是如何得到雇员们认可的呢?
Inergy是一家拥有40多家办公位置和4500名雇员的公司,因此,你无法真正令所有人都满意。我们采取的办法是:首先得到我们的经理发起人——人力资源和IT副总裁的认可。然后我们成立一个由公司顶级经理组成的管理委员会。他们与自己下面部门的经理去谈问题、提建议和找问题。在一些情况下,我们会做一些修改,这一过程进行的很顺利。我认为员工接受了它,效果大大好于我们先前请求很多员工提意见,但却不能及时完成任何东西的作法。
问:你们的安全政策包括什么?
我们的安全政策内容非常全面。它有四个部分:计算机的使用、电子邮件与语音邮件的使用、Internet的使用以及遵从性和纪律行为。它是用一般雇员都可以理解的、用简单英文写成的政策。我们还不时开发适用于某种环境的辅助政策。例如,规定不能访问哪些网页的“可接受的Internet内容”政策,或无线访问政策和供应商访问政策。我们还有规定如何满足特定人群安全需要的特殊政策。
问:你们如何评估你们在特定领域面临的风险水平,是否可以定制开发安全政策?
经典例子就是供应商访问政策,因为我们希望拥有为外部供应商或客户提供安全访问的好机制。诀窍是根据你允许访问的资源评估风险水平。如果我们确定是较低价值的资源,如产品清单,我们可能使用基于HTTPS的FTP。对于更高价值的资源,我们可能使用与AD集成的认证。
相关新闻
