帖子是shiter兄弟在cisps发起的,正文如下:
看多了大家对技术和管理的讨论,无论是“三七”还是“四六”,围绕的始终是单一产品、几种技术、某类认证等等。换句话说,讨论的始终是在一个点、几个点的层面上,当然,有些有深度的帖子回复可以达到“面”的程度!
但我们知道,信息安全从来都是立体防御、纵深防御--貌似有点装专家的感觉了,大家明白我说的啥意思就行。
现在我们转换一下思路,从一个单一的信息安全体系建立开始考虑问题,包括:管理、技术、人员、工具等多个角度。
抛玉引玉(抛砖引玉?做梦!有这样的好事大家都抛砖头引玉石啦!玩笑~ ),按照不才(又一次表现了shiter童鞋低掉谦虚的风格~~)的想法可以分这样几步考虑:
1、明确定位!
首先知道信息安全在所处环境(公司、单位、工厂等)的地位!
并评估出在这个地位上所发挥的价值和潜力!
同时各层领导者对这个领域的认识深度和广度!
2、了解情况!
对信息安全目前的体系建设有一定清晰了解,从几个角度考虑:
1)核心业务系统
2)辅助应用系统
3)安全管理建设
4)安全保障程度
在这里,可以参考27k等标准来进行响应的选择、判断、分析!
3、确定范围!
对工作的具体职责进行定义,明确具体那些事情是信息安全部门负责,那些事情是生产管理部门负责,那些事情是业务部门负责。
同时在这里,我想跟各个环境也有所不同。
在比较大的环境中,可能有网络部门、运维部门、审计部门。
在相对比较小的环境中,可能只有一个信息安全部门。
所以这里只有具体情况具体分析了。
只有确定好工作范围,才能更好的开展工作。
4、工作开展!
这里的工作开展我想以业务保证为第一要务!
在确定前面的核心业务以后,首先对核心业务进行评估!
如果以业务连续为主,那要考虑的重点是外部安全防护,比如抗DDOS、应急响应等。
如果以数据保护为主,那要考虑的重点不仅有外部安全防护,比如SQL 注入这样的web攻击,还要有存储、灾备这样的技术措施。
如果以保密为重点,那要考虑的重点要以网络结构划分、安全管理制度、内部防泄密等。
在对核心业务有保障以后,下面的工作可以用20k、27k做为参考,进行信息安全的“大”规划!
1)组织结构
2)管理制度
3)工作流程
4)资产分类
5)安全评估/加固
6)差异性分析
这里要具体情况具体分析了,有的环境可能不需要用20k、27k这样严格的体系来分析!
之所以写在这里,我想这里的差异性分析,可以理解为详细的信息安全解决需求!
7)整改计划
对6)所分析的结果,进行阶段性建设。
可以是单一产品的选择,也可以是小型or大型集成项目,个人建议还是以小型集程项目比较合适。
原因:成本、效率、人员调配、对业务系统的逐步改善等。
8)运维管理
对前面所做工作的总结和长期运行,包括业务的维护、产品的应用管理、管理制度的完善、操作流程的规范等。
上面的8点只是粗略概括的几点,而且在具体工作中,每个时期、每个环境的侧重点也有所不同!
几个工作不是单一的逐步进行,也可以是同时一起操作,两条腿一起走路!
只能根据实际情况来解决了!
毛主席说的好:实事求是!具体问题具体分析!~
5、人才储备
在工作开展的同时,注意人才储备!
因为建立一个完善的信息安全体系需要大量人力、财礼、物力、时间!
财礼、物力是公司决策层的考虑,这个就看我们的口才如何了,hoho~~
所以我这里重点考虑的是人力和时间成本!
时间成本依赖于人员的素质和能力!
人才储备可以在现有环境下进行选拔和提升,也可以在业内资深专家中寻找、咨询意见、推荐选择等。
比如chinacissp这样的论坛,比如安言这样的咨询公司,比如我们无比美丽贤惠的海燕姐姐这样的顾问专家……
人才储备的另一个意义,也是应对人员离职、意外事故等情况出现。
6、享受成绩
有高层老大的支持,财礼物力不是问题;
有人才储备机制、兄弟们同心协作;
有外部专家的评审指导,强大的外援;
再结合上述几点的工作方法,我们的信息体系可以小小的享受一下成绩了吧~~
期待XDJM们的高论!~
(借用冯巩的台词:我想死你们啦~~)
-----------------------------------------------------
DIO-N 写道:
思路清晰,过程全面,可以看出shiter对安全管理非常有经验。
想请教一下shiter兄如何看待安全管理比较虚这个问题。
与客户多次的交流发现,一说到管理该如何如何做,总会被打断,“这些我们都知道,我们觉得安全管理是个挺虚的东西,该如何把管理如何落地?”
-----------------------------------------------------
shiter 写道:
1、对兄弟说的安全管理非常有经验,实在过誉了。
我只是做过几个27k项目,自己总结出一些想法罢了。
其实无论安全管理,还是其他管理,都是人的管理,把握住人的心思就是了。
2、安全管理落地,我想可以从这样几个层次入手:
1)管理层。
效益和稳定是管理层最关心的事情。
安全管理和安全技术、安全服务结合起来,前者是后者的指导,那么安全管理就必然要落地。
管理落实,技术和服务才有保证,业务才能稳定,业务的稳定,才是效益的提高和增长。
我想从这个角度来看,是比较合适的。
当然,如果是大型企业,也可以和企业文化、管理素质融合在一起。
特殊:
对某些客户的权本位思想,可以从树立权威性上进行建议。
2)执行层。
安全和利益是这个层次最关心的事情。
可以和计效考核结合起来。
这个层次的人在公司、单位都有一定的位置,都希望自己在公司、单位的位置是稳定而安全的,谁也不想随意失去一个饭碗,那这个是很重要的一个思想突破口。
可以表现自己的工作程度和成绩,获得高层的认可!
3)一般员工。
经济是这个层次最关注的,也是最实际的。
安全管理的落实,是对员工利益的保护,也是完善公司管理制度,对工作业绩的一个考核。
同时,适当结合考核制度,是在经济上进行一定程度的强制性约束。
谁也不喜欢无故被罚款吧。
这种办法,可用而不可长用;可严一时而不可严长久。
一点个人见解,希望对你有所帮助。
-----------------------------------------------------
DIO-N 写道:
我感觉还是有点虚。呵呵!
这些内容,安全管理的新手看后可能有种豁然开朗的感觉。
但是对于那些接触了安全管理多年的老鸟,或者那些听过很多外面顾问大谈特谈安全的甲方安全管理人员,有点千篇一律了。这些道理他们都懂,他们要的是“操作指引”。挺想探讨一下这方面的东西。
另外,水能载舟也能覆舟,在企业推安全KPI这招要慎用。
-----------------------------------------------------
ln1901 写道:
我认为信息安全的根本目标就是保证你单位应用业务的安全,首先要做的就是分析你单位或机构的“安全需求”,而这个“安全需求”主要就是应用业务的安全需求,这就要求信息安全员至少要和业务应用方面人员进行沟通,充分了解业务流程,了解业务系统在保密性、完整性、可用性等方面的需求,例如业务数据是很敏感、还是公开化的;可用性是否重要等。
这是一点想法,也是在咨询过程中遇到甲方安全部门在处理一些事情的反思。
-----------------------------------------------------
shiter 写道:
看来DIO-N兄是遇到T皮球的麻烦了,就是安全管理理念已经灌输很久,大家已经形成意识疲软这个状态了。
对这个情况,我想有这样几个办法吧:
1、以最高层的意识为准则,既除了现在的IT、信息部门,找更高层来决定管理体系的推行;
2、制造信息安全事件出来,可以是有意or“无意”,否则难以引起足够重视;
3、可以考虑聘请外部团队来操作执行,在保证现有利益群体利益情况下,又推行准则,不失为一个办法。
类似于某些企业聘请“职业杀手”一样。
不过这个办法有点……
最后说下PKI制度,水能载舟亦能覆舟,不过我想,不能因为畏水惧水,而让水肆意自流、不加约束。
萝卜和大棒是配合的,而不是分割的。
在执行上,可以从中高层做起,在内部思想沟通顺畅的情况下,以中高层“开刀”,这样下属会时刻警惕自己的制度执行情况。
威信是踩在别人的鲜血上建立的。
制度也是如此。
在这里,我想重点强调的是:“内部思想沟通”!
其中含义,见仁见智,我不说多。
-----------------------------------------------------
帖子讨论还在继续,游侠(www.youxia.org)回头继续更新!