如何避免数据的潜在危险(二)
作者: 来源: 添加日期:2009-9-7 15:46:22
在如何避免数据的潜在危险(一)中,我们讨论了一些威胁公司数据的信息,在这篇文章中,我们将继续讨论。
角色和责任:必须明确部门角色和责任,划分工作职能。在许多公司,职能界线模糊,责任交叉。例如,由谁负责主机总线适配器的安装——服务器团队还是存储团队?另外,在备份服务器和备份LAN的所有权上,备份团队和生产团队的职能也不明确。责任划分不清会导致一些重要活动受到忽略,不能有效保护数据。
许多公司可能会在同一时间内需要各种各样的IT服务,这就不可避免地要求员工了解跨功能工作流、输入、输出、切换以及控制点。跨功能要求有个典型例子,即流程管理改变控制和配置。必须记录和了解这些流程的相互作用、角色、责任及功能转换,需要记录流程中所有的购置情况。不了解角色、责任和职能界线,就不会产生效益。
人事和公司:人事安排能保证责任明确,但是通常会引起IT人员和财政预算人员之间的摩擦。由于IT人员很难根据经验来安排,这种摩擦就可能加剧。以前往往采用“每1000GB分配X个管理人员”,但是这种方式太过宽泛,并不实用。必须根据实体如警报器、配置要求和变量计算每项任务的工作负荷,做出精确的人事安排决定。这能保证工作负荷得到合理分配,不会因为启用经验不足人员承担重要存储任务而使服务或公司遭受危险。
规程:制定标准操作规程(SOP)是缓解威胁的重要因素。需要制定合适的规程,保证数据的一致性和质量。SOP能提供基准线,告知审计员已执行明确的流程,并且展示法规遵从、完成情况和质量度量标准。SOP能以相对较低的技巧保证流程的可重复性。没有SOP,就不能保证结果的一致性。
数据价值:另外还存在一项威胁,即不能保证你所管理数据的价值。如果不能保证数据的价值,就不可能正确管理数据,不可能在需要的时候及时获取数据。数据与访问数据的商业程序具有同等价值。 |
