随着各类信息安全事件发生频率的不断升高、国家相关法律法规深化推行,企业经营者都意识到信息安全是一项重要而又不紧急的事宜。安全建设是能看到清晰投入而没有明确产出的工作,因此往往被多数管理者放在了一个不得已而为之的尴尬境地。于是安全就成了一个优先级不高、却又时刻让我们放不下心的事情。
作为企业的IT负责人,应该做好一个布道者和提醒者的角色,从多方面多场合来宣导安全的重要性。比如举办安全月活动、开展安全培训和考试、介绍安全法规和行业动态、以安全事件为契机加大安全投入、借助客户和市场力量推动安全能力和体系建设。在此我们把过去在企业中搭建安全体系的经验分享出来。
1、安全审视与风险评估:
风险评估遵循PDCA原则,通过历史事件、现状梳理、管理调查、人员访谈、技术调查(工具扫描、人工分析、渗透测试)等方式,收集并整理安全威胁和漏洞、安全需求和差距、基线风险评估等文件报告。
接下来,需要对资产进行识别,包括硬件、软件、数据、服务、人员等类型,形成清单且标注安全属性(保密性、完整性和可用性),并标识出资产重要性等级、风险等级、威胁等级。
2、安全规划与流程制度建设:
安全规划需要涉及管理和技术两大板块内容,其中管理包括安全体系、制度流程(日程运行、应急处置流程较为关键)、安全策略、安全组织等,技术包括物理安全、网络安全、认证与授权、监控与审计、系统管理、响应与恢复、开发安全等。根据企业业务战略和预算计划,再对各项内容进行优先级排序,形成完整的安全规划与治理办法。
其中安全事件响应机制作为重点流程,确保各个要素和环节均有责任人负责,并能将第一时间发现问题和处置问题的时间和影响作为KPI考核,建立起惩戒机制。
3、安全建设与方案实施:
安全项目实施要遵循管理为先、技术辅助业务流程建模、业务流程风险评估、形成处置建议报告、进行整改和实施。常见技术方案包括:
1)网络安全:安全域划分、VPN技术、WAF防火墙、DLP防数据泄露、VDI虚拟桌面、XDR威胁检测、态势感知等
2)开发安全:通过Web安全审计、代码审计、静态漏洞扫描、工具安全、代码加密、数据加密、授权认证等
3)物理安全:USB接口安全、终端设备入网控制、网口安全、RAID技术、超融合、系统镜像等
4)办公安全:邮件安全、账户密码、堡垒机技术DMP、数据库安全、系统备份、软件管家等
4、体系认证与系统审计:
ISO27001是一套最通行的信息安全体系规范,等保2.0是针对互联网或软件企业网络安全体系规范,而TISAX、ISO/SAE 21434、ASPICE等针对汽车行业相关产品安全体系。
其认证过程通常经历以下阶段:定义安全方针、定义安全管理范围、实施风险评估、风险管理、选择控制目标和实施控制、准备适用性声明、体系运行、体系审核、管理评审、体系认证。最终会形成一整套体系文件,包括方针策略文件、体系文件、规范和程序、作业指导书/记录/表单。
5、安全运维与平台管理:
该平台(SOC安全运维管理中心)对这个安全系统起管理、监控、调度和应急报警等作用,负责对全网络的安全防护设备进行管理,为各个应用系统提供安全管理接口,并提供应用审计。
其中,制定信息安全有关政策和组织架构尤为重要,无论是兼职还是全职都应该要严格落实政策和流程,对于全员也需要定期进行安全教育与培训,开展内部审计与关键岗位考核。
蓝图规划案例:
