ISO 27001 安全体系框架
我以前负责过安全团队的组建及管理,目标是初步搭建公司安全体系,首先是如何找到正确的人?不要考虑学历问题,目前在中国攻防技术厉害的,普遍学历比较低,而且没几个有CISSP,CCIE等高大上的证书,大部分不是科班出身。要找专业安全公司从业经历的,因为他们经常和甲方打交道,清楚要做什么,圈子里的朋友也多,这样你就会很快找到。
信息安全没有百分之百的安全,所以无论是等保还是ISO 27001标准都在实施之前强调分级分类,等保相关请参考另外一篇网络安全等级保护制度2.0(等保2.0),等保的工作重点在二、三、四级上,而三级的安全要求也基本和ISO 27001标准内容匹配,三级以上的等保要求又超过了ISO 27001标准,仅仅实施ISO 27001标准还达不到等保的要求,所以必须以等保作为主线来推进组织的信息安全管理。
一.为什么要做信息安全
企业面临来自各方面的安全威胁,外部黑客、网络黑产、竞争对手、内鬼等,同时也面临各种安全挑战,安全漏洞、网络攻击、勒索、敏感信息泄露等,安全问题也会对公司运营、业务发展造成不良影响,经济损失、用户流失、声誉受损、公信力下降等。
二.企业需要什么样的安全?
数据安全
数据安全是所有公司最核心的安全需求,也是绝大多数公司高管最关注的问题,目标是保障企业敏感数据安全、可控。
在攻防对抗中占主动地位
能够掌控企业整体安全态势,可主动发现潜在安全风险,并在第一时间内解决遇到的安全问题。
保障业务安全、连续、可用
尽可能降低因网络攻击而造成的业务影响,例如最常见的DDOS,CC以及针对业务层面的攻击等。
三.企业如何做好安全?
树立正确的安全观
要明确安全是动态的、相对的、安全建设是一个持续的过程、安全建设需要有持续的投入、安全建设需要公司高层支持、安全不仅仅是安全部门的事。
企业整体安全视角
1.安全目标
安全规划的总体目标是从信息安全管理制度、基础架构安全、业务安全、安全运维四个方向进行。根据企业不同发展阶段,业务系统发展进度,不断更新完善符合个阶段安全需求的规划方案。
短期目标
建立基本的安全管理制度,解决目前急迫和关键的问题,通过规划部署IDS/IPS、WEB应用防护系统、上网行为审计系统、信息安全管理平台技术措施,同时通过规划建立安全组织体系、人员安全、安全策略制度、系统建设安全、系统运维安全等安全管理措施,争取通过在较短期内的建设,使得信息系统的安全状况有大幅度提高。
中长期目标
完善的信息安全技术体系、信息安全管理体系、信息安全运维体系,同时,逐步完善信息安全组织体系。拥有完整的安全设计,对所有服务器、PC机进行集中的安全态势感知、安全检测及防护,建立纵深防御系统。能够持续的对业务系统进行保护,具备风控和应急响应的能力。
2.信息安全管理制度
三分技术,七分管理,首先建立安全制度,做好安全意识培训,以下是部分安全制度。
3.生产网络
4.办公网络
5.第三方供应商和安全合规
6.安全体系建设发展阶段
最后固定安全预算支出,随着业务营收的持续需求,建议高层将安全的投入固定化,占IT总体投入的5%到10%。
