企业信息安全思考1——企业安全框架

先放两张图,这是以前做的,均是半原创
企业信息安全做什么,这个话题很大,有很多标准和最佳实践参考
我的一些思考:(这个是第一版,再更新)
大体可以分为管理+技术,之前在YT参考质量管理5M1E有一个说法:人“技”料法环(测)
管理方面:
人:建立并允许安全组织,管理安全干系人(包括公司决策层领导层、普通员工、IT人员、安全专业人员、第三方人员、顾客等),对各类人员的意识宣贯、培训(比如对安全专业人员的技能培训、对开发人员的安全开发培训、对员工如何保证工作和自身的信息安全的小贴士等)
料:资产安全单独拿出来,因为信息安全的核心是信息资产(狭义的是电子数据,广义的包括承载数据的系统、设备、纸质文件光盘等),对信息资产分级分类,建立责任制和流转图,建立相关制度和技术基础架构(DLP等)

俄罗斯对美国实施网络攻击? 特朗普这回承认了
1亿条个人信息遭泄露幕后黑手是谁?央视曝光1亿条个人信息遭泄露(2)

离职员工通常会带走公司的重要文件,进而带来损失,我们必须加强用户和权限管理,只给用户完成其工作所需最少权限,另外还要及时停止离职员工的系统访问权限。

法:流程制度建设,合规遵从、认证
环:物理安全
测:审计(员工行为审计、IT系统审计)、考核、风险评估
技术方面:之前在YT分为云管端

谷歌摆了微软一道:官方补丁没打好就提前公布Win10漏洞

云:服务器安全(OS、中间件、数据库等)、应用系统安全(APP安全)、云平台安全、大数据安全
管:网络安全(边界防御检测、安全域、无线安全、准入、负载、冗余等)
端:终端安全(行为控制与审计、防病毒等)、移动安全(移动电脑办公、手机平板MDM)、工控安全
话题:个股点睛:航天电子改革试点龙头
以上没有覆盖的还有:
业务连续性、事件管理与应急响应
IT安全(系统开发、系统运维)
还需要一个好的逻辑,把这些都形成一个体系
微信扫一扫关注该公众号

信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。

猜您喜欢

2016中国电商消费行为报告:中小城市消费潜力爆发
解读“电信和互联网用户个人信息保护规定”
网络安全意识——不要随意通过个人设备连接互联网
全国哪些城市最堵?西安重庆石家庄排前三
BESLOW IMMERSION-DUTCH-COURSE
长春寻车寻婴儿事件给安全界的启示