如何从空白起点建立完善的信息安全体系[zt]

　　帖子是shiter兄弟在cisps发起的，正文如下：
　　
　　看多了大家对技术和管理的讨论，无论是“三七”还是“四六”，围绕的始终是单一产品、几种技术、某类认证等等。换句话说，讨论的始终是在一个点、几个点的层面上，当然，有些有深度的帖子回复可以达到“面”的程度！
　　
　　但我们知道，信息安全从来都是立体防御、纵深防御--貌似有点装专家的感觉了，大家明白我说的啥意思就行。
　　现在我们转换一下思路，从一个单一的信息安全体系建立开始考虑问题，包括：管理、技术、人员、工具等多个角度。
　　
　　抛玉引玉（抛砖引玉？做梦！有这样的好事大家都抛砖头引玉石啦！玩笑~ ），按照不才（又一次表现了shiter童鞋低掉谦虚的风格~~）的想法可以分这样几步考虑：
　　
　　1、明确定位！
　　首先知道信息安全在所处环境（公司、单位、工厂等）的地位！
　　并评估出在这个地位上所发挥的价值和潜力！
　　同时各层领导者对这个领域的认识深度和广度！
　　
　　2、了解情况！
　　对信息安全目前的体系建设有一定清晰了解，从几个角度考虑：
　　1）核心业务系统
　　2）辅助应用系统
　　3）安全管理建设
　　4）安全保障程度
　　
　　在这里，可以参考27k等标准来进行响应的选择、判断、分析！
　　
　　3、确定范围！
　　对工作的具体职责进行定义，明确具体那些事情是信息安全部门负责，那些事情是生产管理部门负责，那些事情是业务部门负责。
　　同时在这里，我想跟各个环境也有所不同。
　　在比较大的环境中，可能有网络部门、运维部门、审计部门。
　　在相对比较小的环境中，可能只有一个信息安全部门。
　　所以这里只有具体情况具体分析了。
　　
　　只有确定好工作范围，才能更好的开展工作。
　　
　　4、工作开展！
　　这里的工作开展我想以业务保证为第一要务！
　　在确定前面的核心业务以后，首先对核心业务进行评估！
　　
　　如果以业务连续为主，那要考虑的重点是外部安全防护，比如抗DDOS、应急响应等。
　　如果以数据保护为主，那要考虑的重点不仅有外部安全防护，比如SQL 注入这样的web攻击，还要有存储、灾备这样的技术措施。
　　如果以保密为重点，那要考虑的重点要以网络结构划分、安全管理制度、内部防泄密等。
　　
　　在对核心业务有保障以后，下面的工作可以用20k、27k做为参考，进行信息安全的“大”规划！
　　1）组织结构
　　2）管理制度
　　3）工作流程
　　4）资产分类
　　5）安全评估/加固
　　6）差异性分析
　　这里要具体情况具体分析了，有的环境可能不需要用20k、27k这样严格的体系来分析！
　　之所以写在这里，我想这里的差异性分析，可以理解为详细的信息安全解决需求！
　　7）整改计划
　　对6）所分析的结果，进行阶段性建设。
　　可以是单一产品的选择，也可以是小型or大型集成项目，个人建议还是以小型集程项目比较合适。
　　原因：成本、效率、人员调配、对业务系统的逐步改善等。
　　8）运维管理
　　对前面所做工作的总结和长期运行，包括业务的维护、产品的应用管理、管理制度的完善、操作流程的规范等。
　　
　　上面的8点只是粗略概括的几点，而且在具体工作中，每个时期、每个环境的侧重点也有所不同！
　　几个工作不是单一的逐步进行，也可以是同时一起操作，两条腿一起走路！
　　只能根据实际情况来解决了！
　　毛主席说的好：实事求是！具体问题具体分析！~
　　
　　5、人才储备
　　在工作开展的同时，注意人才储备！
　　因为建立一个完善的信息安全体系需要大量人力、财礼、物力、时间！
　　财礼、物力是公司决策层的考虑，这个就看我们的口才如何了，hoho~~
　　所以我这里重点考虑的是人力和时间成本！
　　时间成本依赖于人员的素质和能力！
　　
　　人才储备可以在现有环境下进行选拔和提升，也可以在业内资深专家中寻找、咨询意见、推荐选择等。
　　比如chinacissp这样的论坛，比如安言这样的咨询公司，比如我们无比美丽贤惠的海燕姐姐这样的顾问专家……
　　
　　人才储备的另一个意义，也是应对人员离职、意外事故等情况出现。
　　
　　6、享受成绩
　　有高层老大的支持，财礼物力不是问题；
　　有人才储备机制、兄弟们同心协作；
　　有外部专家的评审指导，强大的外援；
　　再结合上述几点的工作方法，我们的信息体系可以小小的享受一下成绩了吧~~
　　
　　期待XDJM们的高论！~
　　（借用冯巩的台词：我想死你们啦~~）
　　-----------------------------------------------------
　　DIO-N 写道：
　　思路清晰，过程全面，可以看出shiter对安全管理非常有经验。
　　
　　想请教一下shiter兄如何看待安全管理比较虚这个问题。
　　与客户多次的交流发现，一说到管理该如何如何做，总会被打断，“这些我们都知道，我们觉得安全管理是个挺虚的东西，该如何把管理如何落地？”
　　-----------------------------------------------------
　　shiter 写道：
　　1、对兄弟说的安全管理非常有经验，实在过誉了。
　　我只是做过几个27k项目，自己总结出一些想法罢了。
　　其实无论安全管理，还是其他管理，都是人的管理，把握住人的心思就是了。
　　
　　2、安全管理落地，我想可以从这样几个层次入手：
　　1）管理层。
　　效益和稳定是管理层最关心的事情。
　　安全管理和安全技术、安全服务结合起来，前者是后者的指导，那么安全管理就必然要落地。
　　管理落实，技术和服务才有保证，业务才能稳定，业务的稳定，才是效益的提高和增长。
　　
　　我想从这个角度来看，是比较合适的。
　　当然，如果是大型企业，也可以和企业文化、管理素质融合在一起。
　　
　　特殊：
　　对某些客户的权本位思想，可以从树立权威性上进行建议。
　　
　　2）执行层。
　　安全和利益是这个层次最关心的事情。
　　可以和计效考核结合起来。
　　这个层次的人在公司、单位都有一定的位置，都希望自己在公司、单位的位置是稳定而安全的，谁也不想随意失去一个饭碗，那这个是很重要的一个思想突破口。
　　
　　可以表现自己的工作程度和成绩，获得高层的认可！
　　
　　3）一般员工。
　　经济是这个层次最关注的，也是最实际的。
　　安全管理的落实，是对员工利益的保护，也是完善公司管理制度，对工作业绩的一个考核。
　　
　　同时，适当结合考核制度，是在经济上进行一定程度的强制性约束。
　　谁也不喜欢无故被罚款吧。
　　这种办法，可用而不可长用；可严一时而不可严长久。
　　
　　一点个人见解，希望对你有所帮助。