企业信息安全:“三分技术、七分管理”
复杂性科学将世界上所有的问题分为三类,简单问题、复杂问题和极端复杂问题。信息安全本身包括的范围就很大,企业信息安全工作更会受企业性质、企业人员、网络环境、应用系统等多重因素影响。安全推进工作需要适应这些复杂情况,企业信息安全可以算是一个“极端复杂问题”。
一、信息安全是信息化的根本
- 在2021年以前,IT团队对于信息安全还停留在服务器宕机、数据灾备、权限管理的基本认识上,对于网络准入、终端设备管理、信息防泄密、系统接口认证、安全紧急预案等企业安全问题,根本没有概念。这种无知者无畏的状况也直接导致了公司发生了信息安全重大事故。
针对以上情况,我们深刻检讨了对信息安全的重视度问题:如果信息安全出了状况,任何建立在此之上的上层建筑都会崩塌。我们需要重新审视安全工作的组织、方法和策略,更要将安全技术思维、安全管理思维和安全运维思维融合到一起,来解决企业信息安全这个极端复杂的问题。
二、信息安全工作的着眼点
- 我认为信息安全工作都是从“痛点”和“合规”两个维度开展,所谓痛点就是解决“安全范畴的实际问题”,合规就是“管理手册”“安全准则”“处置办法”等之类的符合企业实际应用的标准。
按照我司规划的信息化建设与应用情况,我们对安全范畴作了如下分类:
- 数据安全,其中包括了业务数据的安全存储、灾备、加密、授权访问等;
- 办公安全,其中包括了网络准入、防病毒、防勒索、系统升级、行为审计等;
- 工业网络安全,其中包括了机房物理环境、通信链路安全、工控系统安全、终端防伪等。
根据以上安全范畴,安全专家需要制定《网管工作手册》、《应急事件处置办法》、《网络安全规章》等符合各个板块的“合规性”标准文件,并且要以专业的态度对这些标准逐字逐句地进行评审,兼顾信息安全的普适性和全面性。制定这些合规标准的意义在于确定一个更高层、更全面的思想原则,指导我们从宏观的视角审视企业的安全建设问题。
三、信息安全的管理之道
- 信息安全工作与几乎所有技术工作都不一样,工作的涉及面很广,不懂技术是不行的,而只懂技术是不够的。安全工作者要以管理者的视角来看待信息安全问题。
这两天与安全专家在讨论2022年IT安全目标与工作计划时,针对安全管理策略展开了具体的讨论。安全专家的观点是“通过业内优秀的安全管理工具可以达到规范网络安全与终端管理的目的”。我的观点是“三分技术、七分管理:通过周期性安全审计与项目评审,结合一定的技术工具实施,达到信息安全的管理目标”,理由如下,第一、管理本身就是安全保护非常重要的前提:从管理层,以及实施层和执行层,都要有专人负责安全事件响应(各个板块的IT主管、工程师都是安全员),通过闭环管理,保证系统化规避风险。第二,我们需要有对应的安全策略、组织流程以及工具,来完成安全全面保护的工作。第三、安全是基础,但安全管理的实施是落实在不同的场景下的,只有考虑不同场景,考虑不同的切实需求,才能做好一个信息安全系统。
结论
- 信息安全是信息化的根本,要做好安全工作,需要投入很大的精力,IT安全团队更需要得到公司决策层的大力支持;信息安全工作要从“痛点”和“合规”两个维度开展,着眼于解决有价值的“实际问题”,而不是空泛地建立一套僵化的体系;信息安全工作“三分技术、七分管理”,各个板块的IT主管、工程师都是安全责任人,只有形成闭环管理,才能系统化地规避风险。
企业信息安全:“三分技术、七分管理”相关推荐
- 华为大企业信息安全解决方案简介
from:http://support.huawei.com/ecommunity/bbs/10151893.html 华为大企业信息安全解决方案主要面向大企业客户,立足于企业信息安全的主要痛点,诠释 ...
- 企业信息安全防泄密浅析
使你疲倦的不是远方的群山,而是你鞋里的一粒石子.让企业恐惧的不是强大的对手,而是自己的商业机密变成了对方手里的底牌--机密到底是怎样泄漏的? 离职高峰潜伏的风险 年底将至,企业开始渐渐进入一年中的跳槽 ...
- 完全解密企业信息安全风险评估
当前,无论是政府还是企业,对于自身的信息安全都非常关注.因此,企业信息安全风险评估再一次引起了业界的关注.那么,此类评估有什么标准?对企业的价值又体现在何处呢? 认识存在的风险 长期以来,人们对保障信 ...
- java计算机毕业设计企业信息安全评价系统源程序+mysql+系统+lw文档+远程调试
java计算机毕业设计企业信息安全评价系统源程序+mysql+系统+lw文档+远程调试 java计算机毕业设计企业信息安全评价系统源程序+mysql+系统+lw文档+远程调试 本源码技术栈: 项目架构 ...
- 从0到1,网上搜不到的企业信息安全搭建全过程,这本书讲透了!
信息安全形势日益严峻.监管环境稳步趋严,越来越多的企业增加了信息安全相关岗位的招聘.而且纵观各类职位,在薪酬范围相似的情况下,与信息安全相关的岗位整体上对工作经验和教育水平的要求会相对宽泛. 安全类 ...
- 企业信息安全————1、什么是企业信息安全
企业信息安全的范围 技术控制: 访问控制:对权限.对账户的控制,例如:控制某个账户可以访问某个系统或者不可以访问某个系统 网络安全:局域网.广域网.城域网.交换机的配置.防火墙配置.路由器配置等等 系 ...
- 《制药企业设施设备运维管理与节能减排》专题会议 特邀讲师勃林格殷格翰首席工程师
<制药企业设施设备运维管理与节能减排>专题会议 2022年12月2日 上海·新国际博览中心 药企免费参与 一.会议背景 制药行业设备种类繁多.性能各异,为保证药品生产过程与质量符合GM ...
- 企业信息安全注意事项
企业信息安全是非常重要的,为了保证信息安全,有以下几个注意事项: 对敏感信息进行加密:加密技术可以有效地保护敏感信息不被非法访问. 定期备份数据:定期备份数据可以在信息丢失或者灾难性事件发生时保证数据 ...
- 企业信息安全很重要?私有化部署为企业信息保驾护航
编者按:本文从企业信息安全的重要性出发,分析了时下流行的云部署的优点和安全隐患,并进一步介绍了私有化部署的低代码平台安全性十分高的特点,有助于维护企业信息安全. 概要: (1)企业信息安全的重要性 ( ...
最新文章
- OSS全球传输加速开启公测,助力企业业务全地域覆盖...
- 电子书下载:Illustrated C# 2012 4th
- gdc2011一些“其他”
- 解决了界面上菜单项跑到其它AE控件后面的问题(java)
- 春节特惠活动┃数学无用论??我们欠孩子真正的数学阅读
- 快照是什么?揭秘存储快照的实现
- java redis 重连_突破Java面试(23-4) - Redis 复制原理
- iris流程图_GitHub - LeoIris/vue: vue源码逐行注释分析+40多m的vue源码程序流程图思维导图 (diff部分待后续更新)...
- php 获取 body json,从PHP中的JSON POST读取HTTP请求正文的问题
- NLP学习难在哪里?这份最全NLP学习路线图帮你解决难题!
- 解决WebGL加载倾斜摄影模型出现An eror occurred while rendering.Rendering has stopped.问题
- 干货分享 ▎软考论文怎么写?
- 蜂巢输入法android,讯飞输入法“蜂巢II”输入模型 内核提速便捷实用
- Jxls excel 导出带图片
- 世界各地 史上最全最详细无线通信频率分配表(内容含概wifi、2.4G、5G,绝对值得收藏)
- 年化超额收益计算matlab,超额年化收益率的计算 看了一下雪球上一些雪友贴出的基金或大V的历年收益率,发现一些人统计的不对,想说一下: 1.超额收益率 某基金当年收益率为... - 雪球...
- java 地图模式_MapL 实现了百度地图定位以及感应方向和各种模式切换的 Demo Java Develop 238万源代码下载- www.pudn.com...
- 贪心算法 绝对值不等式 C语言描述
- flutter icon 大全
- 2022-2027年中国金融市场规模现状及投资规划建议报告