随着国家对数据的重视,数据可能造成重大的安全隐患,从政策、法律法规、标准规范对企业侧的安全合规要求越来越严格,配套的安全测评、安全检查、风险评估、合规审计等工作很多。中小型企业如何做好安全合规工作?是否存在一些“不花钱”的工作来达到一定程度的安全合规,是值得探讨的问题。
工作就需要成本,安全合规也是工作,基本不存在“不花钱”就能做好工作的情况。本文提出的情形是指在尽量不花“额外的钱”或者花“少量的钱”,充分利用企业现有资源,开展必要的基础性工作,达到基本合规要求。例如利用企业内已有的人力资源(非安全专职人员)开展合规动作、利用公司已有防护措施加强配置、组织开展安全意识培训等。
今天结合个人实践及对安全合规工作的理解,从安全视角,整理15条合规工作清单,包括安全管理、安全技术及安全运营三方面,降低企业数据合规成本。
一、安全管理层面
1、成立安全虚拟组织
中小企业通常没有安全部门,甚至连IT部门都没有,安全专职人员更是不可能。但安全合规第一个要点就是明确企业安全责任人,因此建议在企业内推动成立安全虚拟组织,例如信息安全领导小组和工作小组,领导小组由企业主要的部门领导组成,工作小组可由技术部门及技术岗位同事负责。
2、编制必要的安全制度文件
标准的“安全四级制度体系”对于中小企业比较难实现,建议关注重要制度文件,但是需要从企业层面和信息系统层面两个维度考虑。
- 企业层面:建议编写一个大制度,比如《网络和数据安全管理制度》,简要明确企业安全工作分工,把网络安全、数据安全和个人信息保护相关安全要求放入其中。先确保从无到有,具体方法上,这类制度可借助网络获取初稿,再根据企业实际情况进行修订。再往后,可以建立《网络和数据安全事件应急管理办法》《账号权限安全规范》等。
- 系统层面:信息系统是网络和数据安全工作的具体落脚点,建议对企业重要的业务系统建立系统层面的制度规范,比如《平台变更管理规范》《平台网络和数据安全应急预案》《平台漏洞管理细则》等内容。如果企业存在重要的业务系统且对外提供服务,可参照网络安全等级保护要求,建立等级保护的系列安全制度,这类制度可复用性较强,往往进行简要修改即能使用。
3、开展安全意识和技能培训
定期组织相关的安全意识或安全技能培训,是成本很小的安全合规工作。频率可以半年一次,培训课件可以是国家安全法律法规的学习、偏向安全意识教育、或信息系统层面安全技能、应急原培训等内容。可以内部自行组织或在相关项目合同中作为一项服务,要求服务商进行交付。重要的是留存“制定培训计划、培训记录登记表、必要的培训考试”等必要的培训记录。
4、组织应急管理及应急演练
安全合规中的重要内容之一,建议先编制一份《网络和数据安全事件应急管理办法》《网络和数据安全应急预案》是基础动作。然后,组织对应急管理办法和预案进行培训,应急文档增加文档修订记录。每年组织开展一次应急预案演练,比如基础的桌面演练,形成相关文档记录。
5、开展低频度的安全检查和风险评估
每年开展1-2次安全检查和安全自评估,检查或评估标准可参考国家相关政策进行精简,重要的不是全面评估,而是抽取其中内容把工作实施开展起来,最后落地形成相关报告进行留档。具体方法上,比如编写安全检查方案、复用网上的安全检查表、安全检查评估模版等。数字化转型网www.szhzxw.cn
二、安全技术层面
1、部署开源的安全技术工具
安全技术建设也需要区分企业层面和系统层面。
企业层面更多是集约建设,比如主机漏洞扫描、web扫描、资产扫描等监测类工具,可寻找开源工具进行部署扫描。重要的不是扫描质量,而是建立定时任务,组织开展扫描这项工作,并跟踪落实扫描发现漏洞进行整改,形成扫描报告及整改记录。
系统层面安全防护技术可以复用云上或者数据中心的基础安全措施,按需勾选必要的能力,其中防火墙是必选。
2、做好软件自身应用配置
购买安全防护工具需要费用,比如终端EDR、数据库安全审计、堡垒机等产品。安全的另一面,建立可从软件产品自身的应用安全着手,把应用系统的安全配置进行启用,比如建立安全管理员、系统管理员、安全审计员的角色分离,启用账号密码复杂度配置等。
3、做好数据和日志备份
数据备份和日志备份是做IT的生命线,属于必备动作之一。无法做到异地备份,可以安排技术人员落实本地备份,梳理重要的业务数据库和各类日志,通过编制shell或python脚本命令。从合规层面,编制《平台数据备份作业计划表》,并定期检查备份任务的执行情况。另一方面,出现安全事件时,进行溯源分析时,日志是安全责任划分重要依据,如无法相关日志追查,那企业通常要承担主要管理责任。
4、充分利用好服务商资源
企业有限的资源都用于业务经营上,在没有安全预算,更需要用好服务商资源,单独的安全项目建设更是几乎没有,因此在IT项目建设中,可主动要求增加安全内容,甚至在IT项目放入一些安全服务内容,也是可行思路。数字化转型网www.szhzxw.cn
- 常见可嵌入的安全服务:安全技术测试,如做安全漏洞扫描、互联网暴露面监测、web扫描等;安全意识教育培训、技能培训等;安全检测、风险评估等服务类,借助服务商资源进行安全服务,形成一些专业的报告。
- 考虑网络安全保险服务:国外网络安全保险业务比较成熟,国内正处于发展初始阶段,很多比较好的福利,花少量的费用购买网络安全周期性的检测服务和应急相应服务,和企业单独配置工具和人才相比,成本极低。
5、优先使用云资源环境
建议企业可以使用公有云资源环境,能有效减少企业机房管理和安全基础设施的配置成本,尤其企业的非关键业务。目前公用云的安全责任界面、基础设施、安全配套服务非常成熟,云服务资源的申请和退订非常方便。将部分安全责任和服务转移到云上,是减少成本的方向之一。
三、安全运营层面
1、开展梳理CDMB资产表
企业有哪些信息系统、多少服务器、多少应用软件,开放了哪些网络策略,网站域名、互联网暴露面是什么?有哪些数据资产等等,这些都属于CDMB范围。梳理企业资产清单是安全管理的第一步,这些可以手工方式完成,并建议每季度更新一次。针对信息系统层面的信息资产,可以再细分为应用进程、端口、备份、IP地址、服务器配置、服务商联系人等细颗粒度信息。
2、账号权限的管理与定期审计
账号管理是安全事件高危区域,类似弱口令常年长居安全红线榜单。通过梳理账号形成清单,梳理权限授权情况。区分系统、数据库、应用、安全等账号,加强特权账号管理等非技术层面内容。作为企业管理方,可以把这些重要的工作落实到技术侧同事进行日常开展。数字化转型网www.szhzxw.cn
3、跟踪落实中高危漏洞整改
发现漏洞后不及时整改、已整改的漏洞下次升级版本时又复现是发生安全事件的重要原因,管理动作上落实和跟进中高危漏洞整改是重要工作。把安全扫描的专业报告转换成《xx平台漏洞跟踪清单》非常重要,报告是底单,漏洞清单才是管理落地的要点。
4、开展企业钓鱼演练
企业无法配备专业的安全人员、无法采购专业的安全技术工具,那么防范网络和数据安全事件,开展钓鱼演练是性价比比较高的工作之一。或者很多安全事件的起步都是从钓鱼攻击开始,钓鱼攻击无法完全杜绝,但是可以降低钓鱼中招的比率,有经验反馈钓鱼中招率最好在5%以内。钓鱼演练可以群发邮件方式,比如节假日发放福利、升职加薪等场景,这项工作是真实提升安全意识的活动。
5、开展少量的网络安全活动
安全没有资源,被监管检查很难受,但反过来有时需要借助监管或者重要安全活动,组织开展一些企业网络安全活动。比如每年9月的网络安全宣传周,或者上级主管部门的安全检查等。比如做一些调查问卷、A4打印一些宣传手册、张贴安全广告贴等,实际整体费用不高,营造一些安全气氛,虽然一次效果不佳,但是坚持3-5年企业侧安全会有改观。
声明:本文来自数法细语,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于数法细语;编辑/翻译:数字化转型网萍水。
