ISO 27001 安全體系框架
我以前負責過安全團隊的組建及管理,目標是初步搭建公司安全體系,首先是如何找到正確的人?不要考慮學歷問題,目前在中國攻防技術厲害的,普遍學歷比較低,而且沒幾個有CISSP,CCIE等高大上的證書,大部分不是科班出身。要找專業安全公司從業經歷的,因為他們經常和甲方打交道,清楚要做什麼,圈子裡的朋友也多,這樣你就會很快找到。
信息安全沒有百分之百的安全,所以無論是等保還是ISO 27001標準都在實施之前強調分級分類,等保相關請參考另外一篇網絡安全等級保護制度2.0(等保2.0),等保的工作重點在二、三、四級上,而三級的安全要求也基本和ISO 27001標準內容匹配,三級以上的等保要求又超過了ISO 27001標準,僅僅實施ISO 27001標準還達不到等保的要求,所以必須以等保作為主線來推進組織的信息安全管理。
一.為什麼要做信息安全
企業面臨來自各方面的安全威脅,外部黑客、網絡黑產、競爭對手、內鬼等,同時也面臨各種安全挑戰,安全漏洞、網絡攻擊、勒索、敏感信息洩露等,安全問題也會對公司運營、業務發展造成不良影響,經濟損失、用戶流失、聲譽受損、公信力下降等。
二.企業需要什麼樣的安全?
數據安全
數據安全是所有公司最核心的安全需求,也是絕大多數公司高管最關注的問題,目標是保障企業敏感數據安全、可控。
在攻防對抗中佔主動地位
能夠掌控企業整體安全態勢,可主動發現潛在安全風險,並在第一時間內解決遇到的安全問題。
保障業務安全、連續、可用
儘可能降低因網絡攻擊而造成的業務影響,例如最常見的DDOS,CC以及針對業務層面的攻擊等。
三.企業如何做好安全?
樹立正確的安全觀
要明確安全是動態的、相對的、安全建設是一個持續的過程、安全建設需要有持續的投入、安全建設需要公司高層支持、安全不僅僅是安全部門的事。
企業整體安全視角
1.安全目標
安全規劃的總體目標是從信息安全管理制度、基礎架構安全、業務安全、安全運維四個方向進行。根據企業不同發展階段,業務系統發展進度,不斷更新完善符合個階段安全需求的規劃方案。
短期目標
建立基本的安全管理制度,解決目前急迫和關鍵的問題,通過規劃部署IDS/IPS、WEB應用防護系統、上網行為審計系統、信息安全管理平臺技術措施,同時通過規劃建立安全組織體系、人員安全、安全策略制度、系統建設安全、系統運維安全等安全管理措施,爭取通過在較短期內的建設,使得信息系統的安全狀況有大幅度提高。
中長期目標
完善的信息安全技術體系、信息安全管理體系、信息安全運維體系,同時,逐步完善信息安全組織體系。擁有完整的安全設計,對所有服務器、PC機進行集中的安全態勢感知、安全檢測及防護,建立縱深防禦系統。能夠持續的對業務系統進行保護,具備風控和應急響應的能力。
2.信息安全管理制度
三分技術,七分管理,首先建立安全制度,做好安全意識培訓,以下是部分安全制度。
3.生產網絡
4.辦公網絡
5.第三方供應商和安全合規
6.安全體系建設發展階段
最後固定安全預算支出,隨著業務營收的持續需求,建議高層將安全的投入固定化,佔IT總體投入的5%到10%。
閱讀更多 運營增長 的文章
