企业信息安全管理建设(3)——安全管理体系
家里有个七八年前的台式机,几乎两年不曾开机了,放着不用还占地方,正好这几天有空,就想收拾收拾它卖了。接上电源发现还能开机,检查硬盘里的东西发现好多以前的照片,引出一些回忆,然后一张一张看下去居然看了大半天。
就在这时,突然蓝屏了,然后死机了……再次重启发现找不到可引导设备,我心想坏了,大概率硬盘挂逼了,进BIOS,果然认不出硬盘了。换了线,换了SATA口都不起作用。最后不得不下单买了一个新硬盘……这样一来卖掉反而不值得了
哎!
本不富裕的家庭雪上加霜。
信息安全管理体系
接上一回,我们说了一些常用的信息安全管理制度文档,下面是一个总览,大概列举了一些我见过的文档,不全,但可以很方便的根据自己的实际情况进行更改。主要看架构和依赖关系
常见问题
对于安全基础薄弱的企业,在最初搭建信息安全基础架构的时候,常会出现的问题:
- 安全策略实施自下而上而非自上而下
信息安全管理策略一定要自上而下。管理层不重视,各个部门配合不积极,安全策略实施过程中会遇到巨大的困难。
有些企业实施安全策略是为了“面子工程”,例如审查需要、资本要求等等。尽管这样的企业不肯承认,但实际上它们大多不愿在信息安全上花费金钱与精力,“只要过等级保护就行了”这样的想法让很多企业的信息安全形同虚设。我见过太多企业临近年度审计的时候在疯狂的作假日志记录,做假备份的。
从投资效益上讲,即然已经花钱买了设备了,为什么不用起来呢?即然已经花钱做安全了,为什么不切实得到一些效果呢?而且信息安全管理会带来很多正向的影响。这话题太大,以后但开一篇说。 - 信息安全管理制度不清晰
导致安全部门缺乏统一的行动方向,达不到预期目标。 - 信息安全管理制度过于严苛
过于严苛的管理制度在信息安全基础薄弱的企业会遭遇很强的抵触情绪,在安全基础建设的初期阶段,管理制度应当集中精力解决关键业务上的严重风险和容易解决的风险。用有限的资源尽量多办事。 - 安全责任不明确
安全责任一定要明确,否则会出现互相扯皮的现象——安全人员指责业务不遵守制度;业务指责安全人员没有尽到监管义务。不可将安全责任全部放在一个部门或者某个人身上,应当分摊到安全部门和业务部门上。即出现安全问题,业务部门如果没有遵守安全规定,应当承担主要责任;业务部门如果遵守了安全规定,安全部门应当承担主要责任,业务部门应当适当承担次要责任,因为安全部门不可能完全了解业务部门的详细内容,如果业务中有安全隐患,安全部门由于人力和能力的限制而不能发现安全隐患,共担责任会迫使业务部门主动提出改进意见交由安全部门评估,避免“甩锅”的事情。 - 账号管理混乱
特殊权限账号一定要进行严格控制,严禁非生产类账号(员工账号,管理员账号等)共享。对于管理中的例外情况,要定期审计,检查是否仍需要例外。对账号权限定期审计,检查账号权限是否遵循最小化原则。
制定密码策略,严禁弱密码 - 缺乏控制访问或者访问策略混乱
对办公网络环境应当进行区域划分,避免病毒一次感染大量设备。建设访客网络,搭建认证机制。对办公网络做上网行为管理和访问权限的控制。机房进出要严格把控,机房内不得存放杂物(我见过在机房里放米面油等的,因为凉快……) - 缺乏安全基线
安全基线可以由CIS等组织免费获取,对企业设备实施统一部署,集中管理,AD DC方式或者其他第三方管理工具。对企业设备配置安全基线,配置安全基线时要注意是否符合企业现状,以CIS上的安全基线为例,L1级是指大多数企业会启用的配置,L2是指会对用户有明显使用上的阻碍的配置。根据企业的资产分类,关键资产应当适当严格,而对于普通资产应当根据实际情况放宽。以我的经验,很多公司能把L1级的安全基线启用70%就很了不起了。 - 员工不愿遵守安全管理制度
一般出现这种情况有两种原因,一是过于苛刻,影响了业务的发展;二是员工安全意识薄弱,觉得这些安全策略就是找茬。
对于第一种情况,应当及时进行调研并进行改进,但要有底线,例如特权账号随意使用的情况或者弱密码的情况,这个是要绝对禁止的。对于第二种,要定期进行安全宣贯。
如何搭建和完善一个好的信息安全架构
可以尝试ISO27001,ISO的特点就是体系架构非常完善,可以先从简单的开始,然后遵循P(Plan)D(Deploy)C(Check)A(Act)不断循环,一步一步进行改进,经过几轮之后就会有一个比较成熟的信息安全架构了。
当然,完全理解ISO27001和ISO27002是必须的。
企业信息安全管理建设(3)——安全管理体系相关推荐
- alm系统的使用流程_支持MBSE的企业信息管理系统发展与启示
导读:本文介绍了模型管理与MBSE.产品生命周期管理(PLM)的概念及其之间的关系,分析了不同行业的模型管理现状,提出了模型管理的解决方案与技术方向,最后给出了建设企业信息管理系统的建议,以期为企业信 ...
- 企业信息安全管理建设(0)
首先,这一定会是一个系列文章,但究竟会有多少期,我也不确定,这取决于我的时间和精力,也许我会有一个总纲,照着总纲一步一步写完:或者我可能会想到哪里写到哪里:再或者我会根据写文章期间发生的一些安全事件, ...
- [第180期]我在51CTO的提问:如何做好企业信息安全管理
[第180期]我在51CTO的提问:如何做好企业信息安全管理 149banzhang 发表于 2010-10-15 14:08:51 第 5 楼 窗体顶端 李工:您好,很高兴能在51CTO与您交流,我 ...
- 工控企业信息安全管理重点(上)
工控安全企业信息管理背景 我们知道,工控企业在运转.发展的过程中,需要技术.大型设备的支持,设备的正常运转.高效运作是企业生存和发展的前提,那么既然是机器就需要软件和系统的支持,这就给了在全球范围内从 ...
- 【企业后备人才管理体系】企业人才梯队建设的管理策略
后备人才梯队是在现有人才发挥作用的同时做好人才储备,当在岗人才出现变动时,能及时将储备人才补充上去,实现人才的更新与补给,保障工作的正常开展与企业的日常运营管理,其作用主要体现在以下几个方面: 1.保 ...
- 企业内部控制管理与全面风险管理体系建设知识问答
企业内部控制管理与全面风险管理体系建设知识问答 六方合略(天津)企业管理咨询服务有限责任公司 (服务咨询133-8122-1708) 1.请介绍下企业内部控制管理与全面风险管理体系的概念? 企业内部控 ...
- 走出erp管理软件的认识误区,正确建设企业信息
企业erp管理软件几乎已经成为企业信息化的代名词, 企业实施应用ERP是增强市场竞争力的客观需要,是实现管理创新的重要途径,也是解决企业管理中突出问题的有效措施.但是在实际应用中人们对erp管理软件的 ...
- 记一份电网信息化建设企业信息分析平台规划
记一份电网信息化建设企业信息分析平台规划 原文:记一份电网信息化建设企业信息分析平台规划 在项目建设过程中,应需求,其规划大数据信息化平台建设总体方案. 一. 总体原则 双创信息化平台建设遵循技术 ...
- 企业“招投标”一般需要办理哪些体系认证?
一.ISO9001 质量管理体系 质量是取得成功的关键.由不同的国家政府,国际组织和工业协会所做的研究表明,企业的生存,发展和不断进步都要依靠质量保证体系的有效实施.ISO 9000系列质量体系被世界 ...
- 个人信息保护建设实践方法的探索过程
个人信息保护建设实践方法 (一)识别监管要求建立企业或组织合规体系 首先,企业或组织应充分理解监管要求.2021 年 11 月 1 日 起,<个人信息保护法>正式颁布实施,标志着我国个人信 ...
最新文章
- 在Servlet中向客户端写Cookie信息
- Python3.8 新特性:赋值表达式
- 【ARM】Tiny4412裸板编程之MMU(段1M)
- 编程开发涉及的非原生英文名词的读法
- 那些年陪我走过一个又一个加班夜晚的程序员鼓励师们
- 一维有限元法matlab,一维有限元法解常微分方程
- LoadRunner培训初级教程
- Some urls for db2 download
- js 关键技术集合
- 【C++】由于找不到xxx.dll,无法继续执行代码,重新安装程序可能会解决此问题。(解决办法)
- Windows 系统上查询 NVIDIA GPU 型号、CUDA 版本和驱动程序版本
- oracle 11g rac 恢复,11G RAC 异机恢复至单实例测试
- []==![]结果为true,探究 == 本质
- 贾立平是中科学院计算机所博士,贾立平是哪个大学的博士曝光 贾立平秀恩爱不忘考博士...
- 麦香牛肉(dp 、数论)
- 天载优配简述指数放量轰动
- ssoj1018地下组织
- 考研进度记录表(2021.6-2021.11)
- ndk samples
- 5个小众化的自媒体网站,速速收藏起来