信息安全管理實踐

信息安全培訓(xùn)課程——安全管理實踐SecurityTeam開源改變世界2024/1/15內(nèi)容提綱安全管理實踐安全管理概述背景介紹安全管理現(xiàn)狀分析管理組織架構(gòu)案例IT安全管理實踐面臨的問題及挑戰(zhàn)安全管理體系回顧體系化安全管理模式安全管理案例場景體系文件建立安全管理架構(gòu)及人員職責(zé)體系化、精細(xì)化安全管理2024/1/15一安全管理概述2024/1/15背景介紹技術(shù)措施需要配合正確的使用才能發(fā)揮作用假如你把鑰匙落在鎖眼上呢？保險柜就一定安全嗎？2024/1/15背景介紹3G!4G精心設(shè)計的網(wǎng)絡(luò)防御體系，因違規(guī)外連形同虛設(shè)防火墻能解決這樣的問題嗎？2024/1/15面臨的問題及挑戰(zhàn)最高管理層對信息安全的重視和支持力度不夠缺乏明確的信息安全方針組織架構(gòu)及職責(zé)不清晰專職人員數(shù)量及經(jīng)驗不足安全管理體系不完善安全管理措施落實不到位重技術(shù)輕管理的錯誤思想。。。。。。體系化安全管理模式依據(jù)安全管理體系標(biāo)準(zhǔn)參考安全管理實踐經(jīng)驗結(jié)合本單位實際管理情況建立安全管理體系實施體系化安全管理2024/1/152024/1/15體系整體框架回顧安全管理體系是PDCA動態(tài)持續(xù)改進(jìn)的一個循環(huán)體2024/1/15體系文件結(jié)構(gòu)回顧9明確方針、定義架構(gòu)崗位人員、職責(zé)清晰管理有方、重在執(zhí)行

記錄四階執(zhí)行記錄和報告-規(guī)章-制度-流程二階流程策略、制度管理細(xì)則操作規(guī)程計劃、表格、報告、模板三階職能組職能組職能組職能組操作規(guī)范1操作規(guī)范2操作規(guī)范3操作規(guī)范4關(guān)鍵崗位4關(guān)鍵崗位3關(guān)鍵崗位2關(guān)鍵崗位1樣例總綱一階目標(biāo)、范圍、承諾、責(zé)任等2024/1/15某銀行管理組織架構(gòu)（一）2024/1/15某銀行管理組織架構(gòu)（二）辦公室市場營銷部營運(yùn)管理部營業(yè)部分行職能部門風(fēng)險管理部綜合管理部財務(wù)會計部零售銀行部企業(yè)金融部保衛(wèi)部2024/1/15某銀行管理組織架構(gòu)（三）支行行長主抓全面工作副行長（主抓營銷）副行長（主抓核算）副行長（主抓管理、服務(wù)）對私客戶經(jīng)理崗對私柜員崗對私柜員崗對私柜員崗個人業(yè)務(wù)顧問對私柜員崗對公客戶經(jīng)理崗對公柜員崗對公柜員崗行長助理協(xié)助行長處理日常工作2024/1/15二IT安全管理實踐分行A2024/1/15安全管理現(xiàn)狀分析總行分行B支行A支行B支行C支行D支行E支行F信息科技管理委員會設(shè)信息安全領(lǐng)導(dǎo)小組信息科技部設(shè)信息安全管理小組安全管理小組設(shè)安全管理員安全保衛(wèi)部設(shè)保安員分行綜管部設(shè)專職/兼職安全員分行保衛(wèi)部設(shè)保安員支行設(shè)兼職安全員支行設(shè)保安員專職人員數(shù)量職責(zé)是否清晰體系是否完善制度是否落地自上而下OR自下而上體系文件2024/1/15場景一:虛擬的管理架構(gòu)我們設(shè)立安全管理小組負(fù)責(zé)全面的安全管理工作安全管理職責(zé)明確安全管理架構(gòu)健全配備足夠的人員安全管理體系完善哦，看起來好厲害的樣子！那么這個小組具體是哪個部門?管理架構(gòu)都由哪些部門和崗位組成?

。。。。。2024/1/15場景二:名為領(lǐng)導(dǎo)實為員工小王，桌管系統(tǒng)安裝部署怎么樣了？領(lǐng)導(dǎo)，我接電話呢，你問問廠商。小王，已經(jīng)部署到XXX分行了，你去分行安裝下客戶端。領(lǐng)導(dǎo)，我忙別的呢，你去吧。小王，XXX分行客戶端安裝完了，你去控制臺看看上線沒？領(lǐng)導(dǎo)，還是你去吧，我有個材料要寫。領(lǐng)導(dǎo)，我明天請假，還是你寫吧。你桌管的合同還沒寫呢，明天給我。2024/1/15場景三:名為員工實為領(lǐng)導(dǎo)

小李，這事就交給你了，你抓緊辦。

領(lǐng)導(dǎo)，跟您匯報下安全管理工作，目前，各部門不是太配合，請求領(lǐng)導(dǎo)組織協(xié)調(diào)下。

可是，領(lǐng)導(dǎo)，您能幫聯(lián)系下各部門領(lǐng)導(dǎo)不？否則我的工作不好開展。

你打電話就說我說的，讓他們積極配合。

領(lǐng)導(dǎo)，年度信息安全規(guī)劃和年終工作報告我寫不了，涉及總體架構(gòu)和全面工作情況，我不是很了解還是您寫吧。

小李，你是安全管理崗，專業(yè)能力強(qiáng)，所有信息安全工作都由你負(fù)責(zé)。2024/1/15場景四:專職人員少

恩？系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)、資產(chǎn)、終端等安全管理情況呢？

領(lǐng)導(dǎo)，跟您匯報下本周工作，目前，按體系文件要求，環(huán)境安全管理、人員安全管理工作正常。

領(lǐng)導(dǎo)，我就一個人，這么多管理工作，我一下子做不過來。

這怎么行，安全管理工作很重要。

領(lǐng)導(dǎo)，我一個人能力有限，工作只能串行逐步推進(jìn)。

小強(qiáng)，你作為公司的員工，思想得有覺悟，要有奉獻(xiàn)精神，時間不夠可以加班做。2024/1/15場景五:職責(zé)不明確

小張，某業(yè)務(wù)部門要上套系統(tǒng)，你去參會，從安全技術(shù)防護(hù)、安全產(chǎn)品部署、安全測試方面提出需求建議

??！領(lǐng)導(dǎo)，這些我不是特別懂。

領(lǐng)導(dǎo)，我只是安全管理職責(zé)，安全技術(shù)、安全產(chǎn)品、安全測試不在我職責(zé)范圍內(nèi)，我怕做不好。

那怎么行，這些都是信息安全相關(guān)的，都由你負(fù)責(zé)。

。。。。。

小張，現(xiàn)在公司需要專業(yè)的全能型人才，你去吧。2024/1/15場景六:體系不完善

哦，制度體系很龐大，出現(xiàn)散亂的情況很正常，至于缺少的制度，小劉，你上網(wǎng)找找補(bǔ)充進(jìn)去就行了

領(lǐng)導(dǎo)，跟您匯報下工作，通過風(fēng)險檢查發(fā)現(xiàn)公司的制度有些散亂，而且缺少一些方面的制度約束。

??！領(lǐng)導(dǎo)，這不好吧，別的制度只能參考，與我公司的實際情況不一樣，我建議依據(jù)國內(nèi)外標(biāo)準(zhǔn)和行業(yè)最佳實踐，并結(jié)合我公司實際情況，建立一套完善的安全管理體系。

小劉，你的想法是好的，可現(xiàn)在公司最重要的是拓展業(yè)務(wù)，制度完不完善不重要。

沒有一個完善的體系，怎么管理這么龐大的組織？如何相互協(xié)調(diào)配合？職責(zé)都不明確，怎么給業(yè)務(wù)拓展提供保障2024/1/15場景七:制度不落地

哦？你說的意思是你的工作沒有好好做是吧？

領(lǐng)導(dǎo)，跟您匯報下工作，我們現(xiàn)在的制度體系還沒有相應(yīng)的人員去推進(jìn)落地，仍存在于紙面化。

領(lǐng)導(dǎo)，不是這樣的，我已經(jīng)很盡心去做了，只不過我一個人確實能力有限，目前，環(huán)境安全、人員安全、系統(tǒng)安全、網(wǎng)絡(luò)安全管理已落實相關(guān)工作，可其他方面確實沒那么多精力。

小陳，安全管理工作公司領(lǐng)導(dǎo)非常重視，安全無小事，尤其是我們保障部門。

領(lǐng)導(dǎo)，你說的我都明白，可我確實沒有更好的辦法，實在不行我多加點班！

好的，小陳我相信你，努力提升，一定要將制度落地，做好本職工作。2024/1/15場景八:重技術(shù)輕管理

哦？具體是哪方面？

領(lǐng)導(dǎo)，我覺得我們安全管理工作還是沒有完全展開。

領(lǐng)導(dǎo)，我們對網(wǎng)絡(luò)安全、系統(tǒng)安全、終端安全、數(shù)據(jù)安全等方面的管理投入還有所不足。

什么意思？我們上了IDS、IPS、防火墻、WAF、安全審計、抗DDOS、桌管、脫敏這么多設(shè)備設(shè)施。

可是領(lǐng)導(dǎo)，這些設(shè)備具體情況，我們并沒有專人詳細(xì)去看，組織人員去分析啊！

好了，小趙，我們部署了這么多技術(shù)產(chǎn)品防護(hù)，管理稍差點沒什么。2024/1/15一種體系文件框架體系文件總綱人員安全管理資產(chǎn)安全管理訪問控制管理環(huán)境安全管理系統(tǒng)和網(wǎng)絡(luò)安全管理數(shù)據(jù)安全管理終端安全管理開發(fā)安全管理外包安全管理安全事件管理符合性管理持續(xù)改進(jìn)管理2024/1/15總綱文件結(jié)構(gòu)體系管理總綱文件(一階)體系管理者代表任命書(三階)安全質(zhì)量負(fù)責(zé)人任命書(三階)安全人員崗位信息表(三階)人員角色職責(zé)對應(yīng)表(三階)安全管理架構(gòu)及崗位職責(zé)文件(二階)體系適用性聲明(三階)體系術(shù)語定義表(三階)總綱2024/1/15人員安全管理文件結(jié)構(gòu)人員安全管理員工安全管理辦法(二階)外來人員安全管理辦法(二階)外來人員安全管理實施細(xì)則(三階)員工安全管理實施細(xì)則(三階)人員培訓(xùn)管理實施細(xì)則(三階)人員培訓(xùn)管理流程圖(三階)安全培訓(xùn)記錄表(三階)員工保密協(xié)議(三階)員工背景調(diào)查表(三階)員工離職申請表(三階)員工離職工作交接及權(quán)限回收表(三階)外來人員駐場申請表(三階)外來人員保密協(xié)議(三階)外來人員背景調(diào)查表(三階)外來人員離場申請表(三階)外來人員離場工作交接及權(quán)限回收表(三階)2024/1/15資產(chǎn)安全管理文件結(jié)構(gòu)資產(chǎn)安全管理資產(chǎn)安全管理辦法(二階)資產(chǎn)安全管理實施細(xì)則(三階)資產(chǎn)處置記錄表(三階)資產(chǎn)登記標(biāo)識卡(三階)信息資產(chǎn)臺賬(三階)資產(chǎn)申請審批表(三階)資產(chǎn)交付使用記錄表(三階)資產(chǎn)維修申請審批表(三階)資產(chǎn)分類分級清單(三階)外部服務(wù)商保密協(xié)議(三階)介質(zhì)安全管理實施細(xì)則(三階)介質(zhì)領(lǐng)用\歸還記錄表(三階)介質(zhì)抽檢記錄表(三階)介質(zhì)轉(zhuǎn)儲記錄表(三階)介質(zhì)清理\銷毀記錄表(三階)2024/1/15訪問控制管理文件結(jié)構(gòu)訪問控制管理訪問控制管理辦法(二階)訪問控制管理實施細(xì)則(三階)機(jī)密資源管理實施細(xì)則(三階)機(jī)密資源清單(三階)機(jī)密資源使用審批表(三階)機(jī)密資源銷毀審批表(三階)機(jī)密資源交接表(三階)用戶賬號權(quán)限管理清單(三階)賬號權(quán)限開通使用審批表(三階)用戶賬號權(quán)限審核表(三階)特權(quán)用戶使用審批表(三階)用戶賬號權(quán)限管理記錄表(三階)賬號操作審查表(三階)網(wǎng)絡(luò)訪問管理記錄表(三階)正版授權(quán)軟件清單(三階)授權(quán)軟件安裝審批記錄(三階)2024/1/15環(huán)境安全管理文件結(jié)構(gòu)環(huán)境安全管理環(huán)境安全管理辦法(二階)辦公區(qū)安全管理實施細(xì)則(三階)機(jī)房環(huán)境安全管理實施細(xì)則(三階)辦公環(huán)境安檢記錄表(三階)辦公環(huán)境物品出入審批表(三階)辦公環(huán)境施工審批表(三階)外來人員進(jìn)出機(jī)房審批表(三階)機(jī)房出入登記表(三階)機(jī)房物品出入審批記錄表(三階)機(jī)房環(huán)境安檢記錄表(三階)環(huán)境安全分析報告(三階)機(jī)房環(huán)境施工審批表(三階)2024/1/15系統(tǒng)和網(wǎng)絡(luò)安全管理文件結(jié)構(gòu)系統(tǒng)和網(wǎng)絡(luò)安全管理系統(tǒng)和網(wǎng)絡(luò)安全管理辦法(二階)系統(tǒng)與網(wǎng)絡(luò)安全管理實施細(xì)則(三階)漏洞管理實施細(xì)則(三階)防病毒管理實施細(xì)則(三階)系統(tǒng)和網(wǎng)絡(luò)安全分析報告(三階)網(wǎng)絡(luò)安全域劃分說明(三階)安全基線配置文檔(三階)系統(tǒng)和網(wǎng)絡(luò)安全評審記錄表(三階)系統(tǒng)和網(wǎng)絡(luò)安檢記錄表(三階)入侵檢測管理實施細(xì)則(三階)安全性測試計劃及記錄(三階)漏洞分析報告(三階)補(bǔ)丁更新測試記錄、報告(三階)測試申請審批記錄表(三階)入侵事件處置記錄(三階)入侵行為分析報告(三階)病毒查殺記錄表(三階)病毒分析報告(三階)2024/1/15數(shù)據(jù)安全管理文件結(jié)構(gòu)數(shù)據(jù)安全管理數(shù)據(jù)安全管理辦法(二階)數(shù)據(jù)安全管理實施細(xì)則(三階)日志管理實施細(xì)則(三階)數(shù)據(jù)清理、銷毀記錄表(三階)數(shù)據(jù)脫敏記錄表(三階)數(shù)據(jù)遷移指導(dǎo)手冊(三階)數(shù)據(jù)查詢使用審批表(三階)外部查詢使用數(shù)據(jù)保密協(xié)議(三階)數(shù)據(jù)轉(zhuǎn)儲、遷移、測試驗證記錄表(三階)數(shù)據(jù)備份、恢復(fù)、測試記錄表(三階)數(shù)據(jù)安檢記錄表(三階)數(shù)據(jù)安全分析報告(三階)日志審查記錄表(三階)日志審計分析報告(三階)2024/1/15終端安全管理文件結(jié)構(gòu)終端安全管理終端安全管理辦法(二階)終端安全管理實施細(xì)則(三階)終端安檢記錄表(三階)終端維修申請審批表(三階)終端報廢申請審批表(三階)終端接入申請審批表(三階)終端出入申請審批表(三階)終端回收記錄表(三階)終端使用處置記錄表(三階)終端安全分析報告(三階)2024/1/15開發(fā)安全管理文件結(jié)構(gòu)開發(fā)安全管理開發(fā)安全管理辦法(二階)開發(fā)項目安全管理實施細(xì)則(三階)系統(tǒng)開發(fā)安全分析報告(三階)安全性測試計劃(三階)安全性測試報告(三階)軟件開發(fā)安全需求說明書(三階)安全技術(shù)需求確認(rèn)表(三階)系統(tǒng)開發(fā)安全檢查記錄表(三階)安全性測試記錄表(三階)安全需求評審記錄表(三階)2024/1/15外包安全管理文件結(jié)構(gòu)外包安全管理外包安全管理辦法(二階)外包安全管理實施細(xì)則(三階)外包商服務(wù)清單(三階)外包商調(diào)查評價表(三階)年度外包商評分表(三階)外包商風(fēng)險評估報告(三階)外包商分類分級清單(三階)外包商交接記錄表(三階)外包商評價標(biāo)準(zhǔn)(三階)外包商安全審計報告(三階)外包商保密協(xié)議(三階)外包商安全分析報告(三階)外包商安全檢查記錄表(三階)2024/1/15安全事件管理文件結(jié)構(gòu)安全事件管理安全事件管理辦法(二階)安全事件管理實施細(xì)則(三階)安全事件分析報告(三階)安全事件管理流程圖(三階)安全事件記錄表(三階)安全事件分類分級清單(三階)安全事件處置分析報告(三階)安全事件檢查記錄表(三階)2024/1/15符合性管理文件結(jié)構(gòu)符合性管理符合性管理辦法(二階)符合性管理實施細(xì)則(三階)符合性分析報告(三階)法律法規(guī)清單(三階)符合性檢查記錄(三階)符合性管理計劃(三階)2024/1/15持續(xù)改進(jìn)管理文件結(jié)構(gòu)持續(xù)改進(jìn)管理持續(xù)改進(jìn)管理辦法(二階)持續(xù)改進(jìn)管理實施細(xì)則(三階)內(nèi)審與管審管理辦法(二階)安全檢查管理辦法(二階)內(nèi)審與管審管理實施細(xì)則(三階)安全檢查管理實施細(xì)則(三階)持續(xù)改進(jìn)分析報告(三階)持續(xù)改進(jìn)流程圖(三階)持續(xù)改進(jìn)記錄表(三階)持續(xù)改進(jìn)管理計劃(三階)持續(xù)改進(jìn)跟蹤記錄表(三階)內(nèi)審與管審分析報告(三階)內(nèi)審與管審流程圖(三階)內(nèi)審與管審檢查記錄表(三階)內(nèi)審與管審管理計劃(三階)內(nèi)審與管審評審會議紀(jì)要(三階)安全檢查記錄(三階)安全檢查計劃/方案(三階)安全檢查報告(三階)2024/1/15安全管理架構(gòu)2024/1/15管理者代表職責(zé)總體協(xié)調(diào)、推動管理體系運(yùn)行；分配管理體系具體人員崗位，為安全管理體系的落地實施和持續(xù)改進(jìn)，協(xié)調(diào)提供所需資源；審批管理體系文件，以確保管理體系的計劃、實施、監(jiān)控、改進(jìn)機(jī)制與管理體系方針、目標(biāo)、法律法規(guī)要求保持一致；依據(jù)管理體系方針及總體目標(biāo)，指導(dǎo)制定并審批體系運(yùn)行績效評價指標(biāo)；推動安全管理體系的宣貫。2024/1/15安全執(zhí)行經(jīng)理職責(zé)為管理者代表任命管理體系各崗位人員提供建議；組織制定并審核管理體系文件，制定信息安全發(fā)展規(guī)劃，設(shè)計安全管理架構(gòu)；推動管理體系各項活動有效執(zhí)行和改進(jìn)，并對管理體系運(yùn)行的總體績效負(fù)責(zé)；組織制定、考核管理體系的績效測量指標(biāo)；組織實施安全管理體系落地執(zhí)行，并向最高管理者及管理者代表報告管理體系總體運(yùn)行情況。2024/1/15安全管理員職責(zé)貫徹、執(zhí)行信息安全管理體系文件要求；制定信息安全管理規(guī)范及策略；推進(jìn)、落實信息安全管理工作；負(fù)責(zé)信息安全管理的日常管理、安全檢查以及組織協(xié)調(diào)