数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
一、安全组织建设
针对某集团来说,技术方案的规划和设计固然重要,但针对网络安全的长期运营来说,如果没有针对性的组织保障体系,很难保证系统长期稳定运行,很难保证能够发挥出系统的最佳优势,从而很难保证的长期安全,因此有必要对某集团网络安全组织体系进行专门的设计,逐步建立健全某集团统一的安全管理组织机构,按照标准的安全管理流程进行规范化的信息系统安全管理和监督。
安全组织体系的设计原则为:数字化转型网www.szhzxw.cn
领导负责:安全属于“一把手”工程,必须引起某集团高层领导的足够重视,在安全系统规划和实施的过程中,势必会影响到某些岗位的工作,只有高层领导的参与,才能保证安全体系建设的顺利推进全员参与:安全是属于大家的,安全不仅仅属于技术层面的问题,更多是属于管理层面的问题,所谓技术靠三分,管理靠七分,技术只是从检测、发现、报警、恢复等方面来保障,一个稳定可靠的安全系统,必须要有全员的参与,通过提高整体员工的安全意识和安全技能,才能够从更深的层次上杜绝安全事件的发生。
分工合作:安全的运营和维护往往涉及到很多部门,这就需要不同部门的人员能够参与到安全的运营中,必须针对不同的部门,制定不同的角色和分工,从而保障安全运营维护的协调统一。
建议某集团建立一个具有管理权的适当的信息安全管理委员会,负责批准信息安全方针、分配安全职责并协调组织内部信息安全的实施。如有必要,应在组织内建立提供信息安全建议的专家小组并使其有效。应建立和组织外部安全专家的联系,以跟踪行业趋势,监督安全标准和评估方法,并在处理安全事故时提供适当的联络渠道。另外应鼓励多学科的信息安全方法的发展,如:管理层、用户、行政人员、应用软件设计者、审核人员和保安人员以及行业专家(如法律和风险管理领域)之间的协作。
二、人员安全管理
一个有效的安全体系,首先考虑的因素是“人”,如何提高“人”的自身素养,提高“人”的安全意识,是某集团信息安全的有力保障。主要工作包括确定某集团信息系统管理人员框架及管理人员职责,制定或完善符合某集团业务特色的人员安全管理条例,以及进行信息系统使用人员和运维管理人员的安全意识和安全技能培训等。
具体可从岗位分工、培训教育、安全考核三个部分进行考虑。
Ø岗位职责:从某集团信息网络安全角度出发,我们将某集团的技术管理人员分为系统管理员、安全管理员、审计管理员,避免责任不清,对网络异常时间响应不及时,发现异常事件反馈不准确等问题,明确三种角色的岗位职责;数字化转型网www.szhzxw.cn
Ø培训和教育:为了提高整个项目的服务质量,实现某集团信息网络安全、提高安全系统效率。让某集团相关各级技术人员在项目结束后,可以更好的管理、配置和维护此次项目添置的软硬件设备和服务的输出产品,项目必须考虑如何在项目中安排多种培训;
安全考核:为了保障某集团信息网络安全的长期稳定运行,体现岗位职责,必须从安全的角度对涉及某集团信息安全的人员定期考核,并建议本考核作为评价员工业绩的一个重要组成部分。
人员和业务应用人员的安全知识和安全技能培训,提高某集团自身的安全管理水平。
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于竹鸿安全;编辑/翻译:数字化转型网Jerry。
