摘要: 从冷漠的博客转载过来的: 今天在整某证券公司的安全规划报告,顺便写点东东···· 信息安全规划报告总的来说就是一份企业在未来 3-5 年内在信息安全方面所需做的事情,结合之前项目的经验,安全规划通常为 3 期,每期为一年,通常的安全规划报告应报告如下方...
从冷漠的博客转载过来的:
今天在整某证券公司的安全规划报告,顺便写点东东····
信息安全规划报告总的来说就是一份企业在未来 3-5 年内在信息安全方面所需做的事情,结合之前项目的经验,安全规划通常为 3 期,每期为一年,通常的安全规划报告应报告如下方面:
一、目前的安全现状。
此章节主要描述企业目前的安全现状,应包括:
1、组织与人员的安全现状;
2、安全管理制度及制度执行情况的现状;
3、操作系统的安全现状;
4、应用系统的安全现状;
5、网络设备及网络架构的安全现状;
6、物理环境的安全现状;
7、……
以上只是一个类型的,而不是固定的格式,通常应根据的项目的具体情况来分析,概括来说安全现状就是分析本次项目所涵盖的所有方面的安全现状。安全现状的分析通常是一个概述的东西,而不是一个详细的弱点说明文档,详细的漏洞说明应在其他的文档里体现。
二、安全需求
安全规划报告通常的思路为分析目前的安全现状 ---> 由现状得出安全需求 -----> 根据需求来制定安全建设方案。在安全需求阶段主要由上述得到的安全现状来分析企业目前在哪方面存在缺失或不足,从而得到安全需求。譬如操作系统存在漏洞,那在后期的建设方案中就应将安全加固的部分纳入其中。在安全管理制度方面存在缺失,说明企业的安全管理体系和管理意识上存在不足,那么在后期的建设方案中就应有体系的建设和人员的安全培训等内容。
概况来讲安全需求就是贴近企业的安全现状,根据企业的实际情况来分析得出企业的安全需求。
三、安全建设方案
在我们得到安全需求后,下一步我们要做的就是为企业制定未来 3-5 年的安全规划,安全规划通常在 3 年左右,不应将周期拉的过长,因为企业的信息系统经常会变动,到时安全规划的可执行性就非常的差了。安全规划还是着眼于近期。安全规划应有轻重缓急,急需解决的安全问题应放在一期来执行,如安全加固的内容属于企业当前急需解决的问题,应当首先提到日程上来。所以建设方案的制定应有一定的科学道理。当然最主要的是还是贴近企业的现状以及方案的可执行性。
一份再好的方案如果不能够被执行,那也等于废纸一张。何为可执行性?简单来说就是能和企业的现状紧密的联系在一起,而不是描述一些放之四海而皆准的东西,这样的方案的可执行性就很差。因为用户在拿到你这份方案时,不知道下一步需要做什么?怎么做?
安全建设方案其实也是一份指导性的东西,最终的目的是为企业的安全工作的实施指引方向,描述企业应该在后期应该考虑哪些方面?让用户有一个明确的思路,便于工作的展开。安全建设方案通常分为三期:
1、一期:基础安全建设
此阶段主要工作为安全加固、体系的建设、制度的完善等
2、二期:增强安全建设
此阶段主要为安全产品的采购及部署以及对一期相关工作的检查与加强。
3、三期:综合安全管理
此阶段为后续的运维,主要包括人员的培训、定期的安全评估、产品的集中管理等
通过上面的简单来说我们可以发现安全规划报告是帮助企业在未来 3-5 年的安全工作提供指引和方向,很多企业可能知道存在哪些问题,但不知道怎么科学有效的来制定规划来解决这些问题。
