精华内容
下载资源
问答
  • 信息安全管理体系ISO27001

    千次阅读 2019-06-21 23:27:15
    信息安全ISO27001等ISO27000系列包含下列标准 ... ISO 27001 信息安全管理体系—要求 ISMS Requirements (以BS 7799-2为基础)  ISO 27002 信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005) ...

    国际标准化的信息安全管理体系ISO27000,是一系列的规范,其中ISO27001阐述了信息安全管理体系的范畴和实施要点, 是ISO27000系列的主标准,可以按照ISO27001的要求建立自己的信息安全管理体系,有需要也可以去通过官方的认证。

    ISO27000系列标准

    • ISO 27000 原理与术语Principles and vocabulary
    • ISO 27001 信息安全管理体系—要求 ISMS Requirements (以BS 7799-2为基础)
    • ISO 27002 信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005)
    • ISO 27003 信息安全管理体系—实施指南ISMS Implementation guidelines
    • ISO 27004 信息安全管理体系—指标与测量ISMS Metrics and measurement
    • ISO 27005 信息安全管理体系—风险管理ISMS Risk management
    • ISO 27006 信息安全管理体系—认证机构的认可要求
    • ISO 27007 信息技术-安全技术-信息安全管理体系审核员指南

    ISO27001涉及的14个安全领域(114项要求)

    1. 信息安全方针和策略
      依据业务要求和相关法律法规为信息安全提供管理指导和支持。

    2. 信息安全组织
      建立一个管理框架,开展公司的信息安全工作。

    3. 人力资源安全
      确保员工和外包方理解其职责,并履行信息安全职责,在任用终止时保护公司的利益。

    4. 资产管理
      识别公司资产(主要指信息资产),将信息资产按照重要程度确定适当的防护级别。 确保存储在介质中的信息资产不会泄露或破坏。

    5. 访问控制
      限制对数据信息和数据处理设施(如服务器)的访问,保证授权用户对系统和服务的访问,并阻止未授权的访问。

    6. 密码
      有效地使用密码技术以保护数据信息的保密性、真实性、完整性。

    7. 物理和环境安全
      阻止对数据信息和信息处理设施的未授权物理访问、损坏和干扰。防止资产的丢失、损坏、失窃或危及资产安全、业务连续性。

    8. 操作安全
      确保正确、安全的操作信息处理设施(网络设备、服务器等)。 确保采用技术手段防范恶意代码(如病毒等)。 备份防止数据丢失 , 采用日志和监视手段,记录事态并生成证据。 确保运行系统的完整性。 防止对技术脆弱性的利用,使审计活动对系统运行的影响最小化。

    9. 通信安全
      网络及其支持性信息处理设施中的数据信息应得到保护。 保证在公司内、外传输数据信息的安全。

    10. 系统获取、开发和维护
      信息安全是信息系统整个生命周期中的一个有机组成部分,信息安全在信息系统开发生命周期中应有相应的设计和实施。 用于测试的数据应得到保护。

    11. 供应商关系
      确保供应商可访问的信息资产受到保护。 保持与供应商协议一致的信息安全服务交付。

    12. 信息安全事件管理
      采用有效的方法对信息安全事件进行管理,包括对安全事件和风险的沟通。

    13. 业务连续性管理
      将信息安全连续性纳入公司业务连续性管理之中。 使信息处理设施(如业务系统)具有足够的冗余以满足可用性要求。

    14. 符合性
      避免违反与信息安全有关的法律、法规、规章或合同义务以及任何安全要求。开展信息安全评审 ,确保依据组织方针策略、规程开展信息安全工作。

    一下子要建立这么多控制规程,并非易事,规模大的单位花一年至两年的时间才能建设完善,也是常见的。公司规模小,也可以参考这套体系建立自己的信息安全管理制度,可以加强对安全工作的整体把握。

    展开全文
  • ISO27001信息安全管理体系

    万次阅读 2018-11-05 18:59:00
    初入甲方,刚开始接触的应该就是ISO27001信息安全管理体系,你拿到的应该就是一整套安全管理类的文档。在甲方,稍微有点规模的公司很注重制度和流程,岗位职责分工明细,那么这些安全管理制度,就是你所能掌控的...

    0x00 前言

      初入甲方,刚开始接触的应该就是ISO27001信息安全管理体系,你拿到的应该就是一整套安全管理类的文档。在甲方,稍微有点规模的公司很注重制度和流程,岗位职责分工明细,那么这些安全管理制度,就是你所能掌控的游戏规则,几个人的信息安全部生存之道。

    0x01 ISO27001简介

      ISO/IEC27001 信息安全管理体系(ISMS——information security management system)是信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版,最终再2005年被国际标准化组织(ISO)转化为正式的国际标准,目前国际采用进一步更新的ISO/IEC27001:2013作为企业建立信息安全管理的最新要求。该标准可用于组织的信息安全管理建设和实施,通过管理体系保障组织全方面的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的信息安全管理。

    目前国际上普遍采用ISO/IEC27001:2013作为企业建立信息安全管理体系的最新要求,体系包括14个控制域、35个控制目标、114项控制措施。体系控制域内容如下:

      ISO/IEC27001 信息安全管理体系,即Information Security Management System,简称ISMS。概念最初源于英国标准BS7799,经过十年的不断改版,最终再2005年被国际标准化组织(ISO)转化为正式的国际标准,目前国际采用进一步更新的ISO/IEC27001:2013作为企业建立信息安全管理的最新要求。该标准可用于组织的信息安全管理建设和实施,通过管理体系保障组织全方面的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的信息安全管理。

    Plan规划:信息安全现状调研与诊断、定义ISMS的范围和方针、定义风险评估的系统性方针、资产识别与风险评估方法、评价风险处置的方法、明确控制目标并采取控制措施、输出合理的适用性声明(SOA);

    DO:实施控制的管理程序、实施所选择的控制措施、管理运行、资源提供、人员意识和能力培训;

    Check:执行监视和测量管理程序、实施检查措施并定期评价其有效性、评估残余风险和可接受风险的等级、ISMS内部审核、ISMS管理评审、记录并报告所有活动和事态事件;

    Act:测量ISMS业绩、收集相关的改进建议并处置、采取适当的纠正和预防措施、保持并改进ISMS确保持续运行。

    0x02 企业需求与认证收益

    企业的需求:

    符合政府法律法规及相关部门审核标准

    实现公司可持续发展

    进一步树立和完善企业内部信息安全管理

    加强客户信息安全保护

    提升客户管理服务满意度

    认证的收益:

    提升客户对于公司产品和服务信任度和满意度

    展示公司服务的安全性,极大提升行业竞争力

    与国际信息安全标准接轨,树立行业标杆,有利于在世界范围内开展与其他企业的合作与交流

    显著提高企业内部的IT信息安全管理规范,改善员工对于信息安全服务及IT管理认知

    提升自身品牌形象,进一步贴近客户需求,为客户提供优质可靠的IT服务

    0x03 ISO27001认证

    ISO27001作为信息安全管理标准,为信息安全管理体系(ISMS)的建立、实施、运行、监视、评审、保持和持续改进提供了模型和必要的控制目标和措施,是ISMS顺利实施的最佳指南。

    一般企业建立实施至少需要3个月时间,进度如下:

    没有经历过文档编写、内审、外审,未免有点遗憾,抱着对ISO27001体系建设的好奇,在先知找到了两篇文章,分享了作者在ISO27001体系建设从无到有的过程。

    从无到有通过ISO27001认证-建设篇

    https://xz.aliyun.com/t/106

    从无到有通过ISO27001认证-审核篇

    https://xz.aliyun.com/t/104

    0x04 END

      ISO27001是信息安全领域的管理体系标准,使用范围广,它面向的对象是组织,通过了ISO27001的认证,表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。企业将以此为起点持续改进和深化体系的执行,在公司软件资产受控的前提下持续为客户提供安全可靠的软件产品和服务。

    在学习,也一直在路上,加油!

    本文由Bypass整理总结,部分词条摘自网络。

    最后

    欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。 

     

    参考链接:

    http://www.byiso.com.cn/category/view?id=20

    https://www.bsigroup.com/zh-CN/iso-27001-information-security/

    https://mp.weixin.qq.com/s/bPvLO4vgPcsMZaHDPXLGqg

    http://www.renzhunta.com/iso27001/detail.jhtml

    展开全文
  • 信息安全管理体系ISO27001&IT服务管理体系ISO20000(转)信息安全管理体系ISO27001&IT服务管理体系ISO20000 http://www.itpub.net/693458.html现在很多...

    信息安全管理体系ISO27001&IT服务管理体系ISO20000(转)

    信息安全管理体系ISO27001&IT服务管理体系ISO20000

    http://www.itpub.net/693458.html


    现在很多IT外包企业在需要做这个,据说做好了国家会有补贴。发一下做个小介绍。

    什么是信息安全管理体系(ISMS)?

    信息安全管理体系是系统的对组织敏感信息进行管理,涉及到人,程序和信息科技(IT)系统。BSI发布了正被国际上使用的信息安全管理体系标准号ISO/IEC 17799 (BS7799-1)。


    信息安全不是有一个终端防火墙,或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。信息安全管理体系的引入,可以协调各个方面信息管理,管理更为有效。

    ISO/IEC17799 (BS7799-1:2005)

    BS7799 由两部分组成。BS7799-1是信息安全管理的最佳实践指南,BS7799-2是信息安全管理体系的要求,是获取认证的标准。BS7799-1已在2005年5月转为ISO标准-ISO/IEC17799 (BS7799-1:2005),BS7799-2已在2005年10月转为ISO标准-ISO27001(BS7799-2:2005),并且继续保持BS7799的编号。

    BS7799可以帮助公司识别,管理和减少信息通常所面临的各种威胁。

    ISO27001(BS7799-1:2005)的十一个章节概述如下:

    · 安全方针-为信息安全提供管理指导和支持。

    · 安全组织-在公司内管理信息安全。

    · 资产分类与管理-对公司的信息资产采取适当的保护措施。

    · 人员安全-减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险。

    · 实体和环境安全-防止对商业场所及信息未经授权的访问、损坏及干扰。

    · 通讯与运作管理-确保信息处理设施正确和安全运行。

    · 访问控制-管理对信息的访问。

    · 系统的获得、开发和维护-确保将安全纳入信息系统的整个生命周期。

    · 安全事件管理-确保安全事件发生后有正确的处理流程和报告方式

    · 商业活动连续性管理-防止商业活动的中断,并保护关键的业务过程免受重大故障或灾难的影响。

    · 符合法律-避免违反任何刑法和民法、法律法规或合同义务以及任何安全要求。

    使用ISO27001:2005(BS7799-2:2005)作为信息安全管理标准,由BSI认证。可以向您的股东证实您符合信息安全要求。


    什么是IT服务管理体系ITSMS?


    IT服务管理体系(ITSMS)提供了一个管理IT服务的系统化的方法,无论这个IT服务的客户是内部的还是外部的,它包含了人员、过程和IT系统。

    BSI出版的BS 15000标准包括IT服务管理的规范和实施要点两个部分,作为一个被业内广泛接受的标准,与英国商务部(OGC)制订的ITIL定义的过程方法相一致。BS 15000正被国际上广泛采用,它提供了IT服务管理的审核规范,和一个集成的方法来提供有效的IT服务以满足客户和业务需求。


    什么是ISO/IEC 20000?


    ISO/IEC 20000是一个关于IT服务管理体系的要求的标准,它帮助识别和管理IT服务的关键过程,保证提供有效的IT服务满足客户和业务的需求。

    这个标准基于ITIL的最佳实践基础,ISO/IEC 20000提出了服务文化,提供了满足业务需求的服务的方法论和管理方式的优先权。它还:

    · 定义了一系列相互关联的服务管理过程

    · 识别了过程之间的关系,和这些过程关系在组织内的应用

    · 提供了方针目标和服务管理的控制措施

    · ISO/IEC 20000规定了5个关键的服务管理过程

    · 服务提供过程-包括服务级别管理、可用性管理和能力规划管理

    · 关系过程-包括服务提供者与客户和供应商之间的接口

    · 解决过程-关注需要解决和预防发生的事件和事故

    · 控制过程-包括变更管理,资产管理和配置管理

    · 发布过程-包括新的或更新的软件和硬件的发布

    一个组织利用ISO/IEC 20000作为它的IT服务管理体系的基础,并通过BSI认证,可以表明它的IT服务管理体系满足了该标准的要求。

    来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/7178747/viewspace-161455/,如需转载,请注明出处,否则将追究法律责任。

    转载于:http://blog.itpub.net/7178747/viewspace-161455/

    展开全文
  • 经过我和我的团队一年的不懈努力,基本完成了公司信息安全体系的初步建设,我设计的安全体系架构分为六大块:安全开发体系、安全防御体系、数据安全体系、隐私合规体系、资产管理体系、安全管理体系,六大体系共同...

    前述

    经过我和我的团队一年的不懈努力,基本完成了公司信息安全体系的初步建设,我设计的安全体系架构分为六大块:安全开发体系、安全防御体系、数据安全体系、隐私合规体系、资产管理体系、安全管理体系,六大体系共同构成了完整的信息安全体系。

    完整的信息安全体系架构图:

    安全架构–5--我设计的企业安全体系架构

    六大体系建设总结:

    安全架构–6--甲方安全开发体系建设总结
    安全架构–7--甲方安全防御体系建设总结
    安全架构–8--甲方数据安全体系建设总结
    安全架构–9--甲方隐私合规体系建设总结
    安全架构–10–甲方资产管理体系建设总结
    安全架构–11–甲方安全管理体系建设总结

    一、安全管理体系介绍

    安全管理体系是信息安全体系架构中的基础模块。从安全工程实施的角度来说,安全管理理论上是一个大概念,其涵盖的范围非常多,重要性与所产生的价值也远超技术安全,俗话说三分技术七分管理就是指这个。但单从安全体系架构的不同模块来讲,我这里的安全管理体系并没有那么高端,它在整个信息安全体系架构中扮演辅助角色,主要承担一些非技术的内容。

    在实践中,这里的安全管理体系根据实际情况已被狭义化和裁剪化,狭义化和裁减化之后,我将安全管理体系分为安全培训安全运营安全制度人员安全知识沉淀等五大块,接下来我将逐一展开论述。

    这里的安全管理体系属性偏辅助,优先级也不算高,不过其重要性却不可忽视,因此属于慢建设的部分。

    二、安全培训

    安全培训的目的一般是为了提高公司人员的安全素质,避免因人员自身的问题而带来安全风险。此前有机构调研得出,在信息安全的各个分支领域中,安全培训属于产出投入比(比重=产出/投入)最高的一个分支,在安全培训开展得当的情况下,简单的安全培训就能提高人员的安全意识,而人员的安全意识提升上来之后,很多安全风险就大大降低了。

    从某种程度讲,人员的安全意识是一个大概念,除了指例如设置复杂密码、离开座位要锁屏之类的琐事外,开发人员的安全编码意识也是一个方面,如果开发人员的安全编码意识强,代码逻辑中的各个环节就会添加校验,业务中的技术漏洞也会大大减少。

    在实践中,根据安全培训内容的不同,将安全培训分为安全意识培训安全技术培训两方面。

    2.1、安全意识

    安全意识培训的目的是提高公司员工的信息安全认知与防范意识,其面向的群体一般是公司所有员工。要开展安全意识培训,首先要做的是和培训的相关负责人搭上关系,了解清楚目前培训体系的具体情况,然后再视具体情况制定对应的培训计划。需要了解的情况如:

    1、是否有新员工培训,培训的周期是怎样的,能不能加课?
    2、新员工培训是否有考试,考试的形式是怎样的,是否可以加入安全意识考试?
    3、安全宣传的准备流程是怎样的,要不要审批,海报谁来设计,谁来负责落地?
    4、讲公开课的前期准备流程是怎样的,要不要审批,怎么做前期宣传?
    5、公司是否有考试系统,权限由谁管理,该系统是怎么使用的?

    了解完以上的具体情况后,接下来就可以制定计划并开展工作了,工作分为三块

    第一块:新员工安全意识培训

    1、第一步,确定新员工安全培训范围。这一步需要安全部门确定培训范围并撰写培训课件,培训课件内容要事先和培训相关负责人同步,双方确认无问题即可;

    2、第二步,确定新员工安全考试范围。这一步需要安全部门确定考试范围并编写考试试题,考试试题建议以选择题和判断题为主,不要出其他类型的题,以方便批阅;

    3、第三步,执行新员工安全培训。这一步需要安全部门参与到实际的现场培训中,讲解安全培训内容;

    4、第四步,执行新员工安全考试。按新员工培训结业考试的方式,将安全意识考试搭车进去,考核方式与新员工培训结业考试的考核方式一致,例如考试不通过不能毕业等;

    5、第五步,持久化该项目。安全部门应参与每一届的新员工培训,通过安全培训与考试,提高新员工的安全意识。

    第二块:安全意识宣传

    1、第一步,确定安全宣传的准备流程。一般情况下,安全部门只负责出内容,其他专业的事情需要让专业的人去做,例如宣传执行、海报设计、原料采购、摆放展位等等,因此,要做安全宣传,第一步应该是确定安全宣传的准备流程;

    2、第二步,启动流程。例如提海报设计需求给UED、提海报采购需求给行政、确定宣传海报摆放位置如大厅等;

    3、第三步,摆放宣传。海报设计完成并制作成实物后,由宣传执行部门摆放在预定的位置进行宣传。

    第三块:全员安全意识培训

    1、第一步,确定培训周期与考试周期。培训周期可以一季度一次,考试周期一般一年一次即可;

    2、第二步,确定安全培训范围。这一步需要安全部门撰写培训课件,培训课件内容要事先和培训相关负责人同步,双方确认无问题即可;

    3、第三步,培训前准备。这一步需要安全部门提请公开课审批,以及开展相关的宣传工作等;

    4、第四步,执行全员安全培训。这一步需要安全部门参与到实际的现场培训中,讲解安全培训内容;

    5、第五步,全员考试调研。这一步需要安全部门确定公司是否有考试系统,如果公司没有考试系统,则全员考试不开展。如果公司有考试系统,则申请相关权限,并与培训相关负责人沟通好考试事宜;

    6、第六步,确定全员安全考试范围。这一步需要安全部门编写安全意识考试题,建议以选择题和判断题为主,不要出其他类型的题,否则不好自动化批阅;

    7、第七步,执行全员安全意识考试。安全部门通过通过考试平台,向全员推送安全意识考试,并以固定时间间隔对未考试人员重新推送安全意识考试;

    8、第八步,安全培训后续工作。后续工作例如对于未参加考试的员工如何处置、对于考试不及格的员工如何处置等等。

    以上操作执行下来,员工安全意识这块的工作就算完成了。

    2.2、安全技术

    上一节所说的安全意识培训属于普惠式的安全培训,即适用群体是所有员工,并不会涉及专业知识。除了开展普惠式的安全培训外,还需要对技术人员进行安全培训,而对技术人员的安全培训则是需要涉及到专业知识的。

    安全技术培训实际上是SDL的第一部分,属于安全开发体系的内容,但在实践中,出于安全整体的考量,我将其划分到了安全管理体系下的安全培训里面。

    从培训周期来讲,安全技术培训由于受众群体较少,培训周期可以根据实际情况自行决定。从培训内容来讲,安全技术培训分为两块,一块是对技术人员的安全培训,另一块是安全部门内部的安全分享。

    对技术人员的安全培训一般包括:

    1、对产品部门的安全培训。对产品设计人员进行安全培训可以提高他们的安全素质,从而在设计产品时无需安全部门介入就能规避掉一部分安全风险,同时让产品设计人员知道哪些功能需要安全部门审计,哪些功能不需要安全部门审计,这样可以大大节约安全部门在产品需求上所耗费的时间和精力。

    2、对研发部门的安全培训。对研发部门的安全培训主要是安全编码培训,通过培训提高产品开发人员的安全编码能力,从而在编码时知道怎样规避常见的安全漏洞,进而提升产品的技术安全性,降低产品的技术安全风险。

    除对技术人员进行安全培训外,还有安全部门的内部安全分享,这里的内容就很多样化了,例如各自负责业务的详细说明、新安全技术的研究、新安全政策的研究、安全漏洞分享等等,组内分享比较随意,分享内容也可以根据实际情况自行决定。

    三、安全运营

    这里的安全运营也是一个小概念,它并没有通常所说的大安全运营那么高端(大安全运营是指:除了开发部署,一切皆运营),在实践中,我将这里的安全运营分为应急响应中心SRC安全影响力提升两大块。

    应急响应中心SRC

    实际上,我司是没有SRC的,我仅在这里谈谈我对SRC的一些想法。

    众所周知,随着公司的不断壮大,公司的影响力不断提升,肯定会有越来越多的白帽子关注到公司,如果这些白帽子发现的安全漏洞没有地方安放,这些漏洞就会流入未知的地方,对公司造成的威胁也将大大增加。因此,SRC应用而生,用来收集社会上白帽子提交的安全漏洞。

    建设SRC是需要一定时机的,首先公司影响力要足够大,大到有安全白帽子关注到,否则建设完SRC又让它常年在那里吃灰,是没有意义的;同时再加上有外部安全事件推动,在外部安全事件引起老板们的重视后,建设SRC的时机就成熟了。

    在SRC的建设历程中,我认为最难完成的一点应该是漏洞奖励的落地,因为这对于公司来说是一笔额外开支,老板们能否认可这笔开支的价值,就看缘分了。如果对白帽子提交漏洞不设奖励或奖励度低于公共漏洞平台,那白帽子为什么要将漏洞提到你的平台上呢?

    满足前置条件之后,剩余的工作应该是没有太大难度的,首先搭建一个SRC平台,之后就是运营的工作了,例如等待白帽提交漏洞,在漏洞提交上来之后,安全部门对漏洞做评估定级,之后安排奖励发放,并对漏洞做修复推进等等。当然,实际上可能会更复杂一些。

    安全影响力提升

    安全部门的影响力可以分为外部影响力和内部影响力,内部影响力是指在公司范围内的影响力,外部影响力是指在公司范围外的影响力。

    提升影响力的方式有很多,对于内部影响力来说,如安全培训、安全宣传、安全周或安全月活动等等,都是提升内部影响力的方式。对于外部影响力来说,开设公开的安全博客、定期更新安全文章、参加一些大会的演讲、赞助CTF比赛……等等,也都是提升外部影响力的方式。

    提升影响力对于安全部门来说是很有益处的,对外影响力高了,能汇集各路大牛加盟,大牛加盟能让影响力更高,从此走向正循环;对内影响力高了,则能更轻松的开展一些安全工作,少一些妨碍。

    四、安全制度

    安全制度即需要目标群体去遵守的信息安全相关的规章规范,该工作在实施时主要分为两步,第一步是安全部门编写安全制度或安全规范,第二步是推动这些安全制度落地,这里主要谈谈我对安全制度的一些看法。

    众所周知,制度是需要人来遵守的,但人是灵活的,会不会遵守这个制度,每个人有每个人的想法。那么一个制度如果要落地实施,就必须要有相对应的惩罚规则,并且惩罚规则必须要先落地实施。如果一个制度没有惩罚规则,或者惩罚规则没有实施落地,那这份制度基本就会成为纸上谈兵的空中楼阁,没有人会去遵守。

    再说到惩罚规则实施,实施惩罚需要有一个强有力的执行部门,在实践中,这个部门一般是人事部,如果人事部强势,违反规则就实名通报批评或进行更进一步的惩罚,那自然会形成一定的威慑力,大家就会开始关注这些规则的具体要求了。如果人事部不够强势,总是担心通报会动摇军心或影响犯错员工的形象等等,从而进行匿名通报或不通报,如此一来,不遵守这些制度的成本变得非常低了,长期以往会导致更多人不遵守公司的规章制度,公司的规章制度就会成为一纸空文。

    一般情况下,对于全公司的安全制度,如果有较为苛刻的条款的话,落地起来都有一定的困难,比如设置电脑密码复杂度这种,该类型的制度只能配合安全培训和安全宣传来贯彻,就实际情况来看,效果非常一般,目前也没有什么好的解决办法。但是对于面向小众群体的安全制度,落地情况就很可观了,比如敏感数据提取规范这种,对要提取敏感数据的需求,一律按照敏感数据提取规范来进行,制度落地相当于100%。

    总而言之,制度编写很简单,但制度落地,还是需要安全部门的长期努力。

    五、人员安全

    人员安全是指人本身的安全,它所涵盖的范围就非常广了,从公司的业务发展角度讲,其包括内鬼安全、公司外部人员安全、人员离职安全等等。

    内鬼安全

    内鬼安全在实践中非常难以防范,目前来看对于内鬼安全除了加强思想教育以及发生事件后溯源追责,并没有好的解决方案,这个就不具体说了。

    公司外部人员安全

    公司外部人员有很多,例如外包人员、第三方驻场人员、外卖员、快递员等等,对于这些人员的管理主要涉及物理安全与权限安全。在实践中,对于像外包人员、第三方驻场人员这种和公司业务沾边的外部人员,除了限制其物理活动范围外,还应当做好业务权限管控,仅赋予相应的最小权限,防止公司业务信息泄露。而对于像外卖员、快递员这种不和公司业务沾边的外部人员,只需做好物理范围隔离即可,比如设置单独的快递收发室或外卖存放区等。

    人员离职安全

    对于人员离职这块,安全部门需要关注的就是防止离职人员造成公司业务信息泄露。从实际实施上来讲,主要是两块的内容,一块是在提出离职后,通过数据防泄露系统重点审查其办公终端历史数据,确保在整个工作期间内没有过信息泄露记录,若有信息泄露记录,则要进行面谈及信息确认,并重申保密协议的法律效力。另一块是离职员工的各个账号权限的回收清除,确保在离职后没有任何与业务有关的账号及权限。而对于人员离职产生的其他工作,则是其他部门的事情。

    六、知识沉淀

    公司是铁打的营盘流水的兵,安全部门也是,除了部门内的员工入职离职要做好知识传承外,部门内的同事之间协作也要做好知识传承,例如部署一个系统,具体是怎么部署的?运营一个系统,每期运营解决了哪些问题?测试一个系统,测试账号是什么?等等……

    实际上,不光是安全部门,任何一个团队若要长远发展下去,都离不开知识沉淀,知识沉淀是每一个团队都需要好好去做的事情。在实践中,知识沉淀即文档体系,将安全部门所有工作的记录和结果都以文档的形式记录下来,让每一个接手该工作的人都能够快速的熟悉原先的工作内容,从而在原工作基础上高效的向下开展新的部分,让安全团队始终保持较快的前进速度。

    七、总结

    安全管理体系是整个安全体系架构中的基础模块,属于重要但不紧急象限的部分。出于公司的实际情况考虑,这部分工作内容并没有设定很多,但基本能满足一个小团队的需求。实际中安全管理的方式也有很多,不同的团队有不同的管理方式,本文在此谨以抛砖引玉供大家参考。

    展开全文
  • 了解信息安全管理体系的基本思路

    千次阅读 2018-03-26 10:34:39
    为便于信息安全管理体系的理解与应用,现结合ISO/IEC27001:2016、GB/T22080-2016/ISO/IEC27001:2013及GB/T22081-2016/ISO/IEC27002:2013的相关要求,进行管理基本思路的整理,供参考。1 信息也是资产,值得或...
  • 各行业许多企业都根据业务所需选择不同的国际、国内标准搭建了信息安全管理体系(ISMS),无论是基于国际信息安全标准ISO27000,还是基于国家标准国家等级保护测评准则的要求,信息安全管理体系(ISMS)的建立并不是...
  • ISO27000信息安全管理体系

    千次阅读 2019-07-11 11:33:23
    一、什么是ISMS认证 1、所谓认证...认证的方法包括对产品的特性的抽样检验和对组织体系的审核与评定;认证的证明方式是认证证书与认证标志。通过认证活动,组织可以对外提供某种信任与保证,如产品质量保证...
  • 信息安全管理体系--建立

    千次阅读 2018-04-18 09:32:29
    建立信息安全管理体系应该做以下几方面的工作:1。根据业务、组织、位置、资产和技术等方面的特性、确定信息安全管理体系的边界,包括对范围任何删减的详细说明和正当性理由;2。根据业务、组织、位置、资产和技术等...
  • 如何进行数据安全管理体系建设?

    千次阅读 2020-04-26 08:09:38
    数据安全管理体系建设:现状调研(管理、技术、运维)、业务流调研(以具有代表性的业务入手)即可知道数据流,对数据流进行切分(按照数据生命周期)。 不同层级的部门关注数据安全管理体系内容不一致 信息中心更...
  • 本文在分析金融领域数据中心信息安全管理模式的特点及运维过程中存在问题和缺陷的基础上,研究了数据中心建立信息安全管理体系的必要性,并阐述了信息安全管理体系的构建和改进过程。 关键词:信息安全 管理 数据...
  • 本文根据GB/T 37988-2019 《数据安全能力成熟度模型》及其实施指南的征求意见稿,结合笔者经验,规划了一套企业数据安全管理的制度体系,实施该套制度体系可以使企业达到数据安全能力3级(充分定义级)成熟度。...
  • BS7799信息安全管理体系介绍(转载)BS7799信息安全管理体系介绍http://www.quality-world.cn/guanli/324.html一、信息及信息安全信息象其他重要的商务资产一样,也是一种资产,对一个组...
  • 都发布了基本要求,27000信息安全管理体系提供了14个控制域的114个控制措施,等级保护提供了技术要求和管理要求两个大类下的10个子类的安全要求;在控制措施或安全子类层面的安全要求上,都或多或少的存在共性。 ...
  • 安全管理体系逻辑思维 1.说明 1.1.安全管理体系类似于项目管理的PMBOK,本质上是一种方法论和参考维度,覆盖组织全部的技术活动和全生命周期 1.2.安全管理体系是一个随业务扩张而逐渐完善的过程 2.相对“全集”...
  • ISO/IEC 27001 信息安全管理体系认证

    千次阅读 2013-12-22 11:17:57
    一、 信息安全管理体系标准业务介绍 1、 背景介绍  信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、...
  • 该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,采用 PDCA 过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理。其正式名称为:《ISO/IEC 27001:2005 信息技术-安全技术-...
  • 信息安全管理体系--文件的等级划分

    千次阅读 2018-04-18 09:24:18
    一级文件:纲领性文件;二级文件:程序文件;三级文件:作业指导书; 四级文件:记录
  • 1、车联网系统体系架构 车联网是以车内网、车际网和车载移动互联网(车云网)为基础,按照约定的通信协议和数据交互标准,在车-X(X:车、路、行人及互联网等)之间,进行无线通讯和信息交换的大系统网络;车联网...
  • 接下来我沿着管理体系的创建过程来逐步论述如何建立符合国情的信息安全管理体系。 3.1 明确信息安全管理对象   虽然信息安全 80% 的问题都出自人员操作上,但是为数不多的信息安全投资还是用于采购网络设备上...
  • 本文件就 ISO/IEC 27001 中规定的信息安全管理体系(ISMS)的要求提供指南,并提供有关它们的建议(“should”)、可能性(“can”)和许可(“may”)。本文档的意图不是要提供关于信息安全所有方面的通用指南。 ...
  • 物联网安全体系

    千次阅读 2017-07-09 11:15:16
    应用层安全威胁物联网安全体系结构 一、 设备安全 运行时解密、执行后清内存,实现动态保护 代码混淆,源码保护 代码多样性,每次保护后的代码都不一样 降低可读性,增加逆向难度 可信授权 身份安全,强认证机制 ...
  • PDCA模型是质量管理...我看过国内的一些业界人士写过PDCA在ISMS方面的介绍,但都比较简略,往往一带而过,而科飞安全咨询管理公司的两位顾问对此作了深入浅出的风险,非常值得我们认真学习欣赏.------看了他们写的文章好
  • 近日,飞书获得由国际顶尖认证机构BSI(British Standards Institution)颁发的ISO/IEC 27701:2019隐私信息管理体系认证证书,是全球首批获得该认证的企业之一,目前是中国唯一一家获得该认证的云办公平台。...
  • 信息安全保障体系规划方案

    万次阅读 多人点赞 2018-06-21 17:04:59
    本文内容为信息安全技术体系、运维体系、管理体系的评估和规划,是信息安全保障体系的主体。一、 概述1.1引言本文基于对XX公司信息安全风险评估总体规划的分析,提出XX公司信息安全技术工作的总体规划、目标以及基本...
  • 在云盾的安全管理平台上,可以根据企业需要,对平台的人员的操作进行审批和复核,通过技术审核和人工审批的多重机制,杜绝对数据的破坏。 同时,我们建议企业在数据库的安全运维方面,遵循以下安全管理制度: 云盾...
  • 物联网安全体系结构

    万次阅读 2019-04-21 22:14:02
    物联网安全体系结构 物联网结构复杂、技术...经过对需求的分析,可以归纳出安全架构安全服务的理念:集中控制、统管理、全面分析、快速响应。 1.物联网安全整体结构 物联网融合了传感网络、移动通信网络和互联网...
  • 信息安全体系结构

    千次阅读 2020-03-16 16:04:33
    信息安全体系结构是针对信息系统而言的,一般信息系统的安全体系结构是系统信息安 全功能定义、设计、实施和验证的基础,该体系结构应该在反映整个信息系统安全策略的基 础上,描述该系统安全组件及其相关组件相互间的...
  • 工控安全-工控安全防护体系

    千次阅读 2019-05-27 11:18:29

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 257,245
精华内容 102,898
关键字:

安全管理体系图