完成了一个工作
进了一个项目
没什么特别的

前言

上一篇文章中讲了一些我对信息安全的理解,以及对信息安全容易产生的误解,然后说了一些关于信息安全管理体系建立的初始化内容。

今天这篇文章,我们可以来讨论一下关于信息安全管理的文档建设工作,这些文档都是逐层派生的,也就是说上面的文档是下面的文档的依据,下面的文档是上面的文档的支撑,这样就形成了体系。

每个公司由于业务和体量不一样,所以文档体系也会有很大的区别,那么这篇文章中主要会讲一些最通用,也是每个企业都应该要有的文档。

创建文档体系有一种方法就是参照ISO27001的要求来创建,只要能够坚持不断地循环完善,文档和信息安全体系就能完成建设,但这需要一些经验和对ISO27001的深度理解,这个我以后会专门有文章讨论。

先把文档体系的大概轮廓弄清楚,再依照ISO27001来做完善会更加得心应手,并且能有的放矢。

信息安全管理制度

上一篇文章中我们说了,企业要有企业白皮书,白皮书中要对三个方面进行责任声明,分别是员工,合作伙伴,社会(根据企业实际情况自行修正)。为了保证企业不会损害员工,合作伙伴,和社会秩序,企业要防止自己的信息系统遭到滥用,为了防止信息系统遭到滥用,所以要实行信息安全管理制度。

既然是制度,那就是没有商议余地,必须遵守的。

所以制度一定要从企业做高层来颁布,也就是自上而下。

信息安全管理制度作为信息安全管理体系中最顶层的文档依据,不需要具体到细节,可以是很顶层的描述,这种描述应当清晰的说明企业想让自己的信息系统是一个什么样子的系统,企业员工,合作伙伴应当如何使用企业的信息系统和数据。

举个例子:

制度声明:
为了保证xxxx公司的信息系统不会遭到滥用,而对xxxx公司的员工、合作伙伴、社会秩序造成伤害,xxxx公司实行信息安全管理制度。等等描述
适用范围:
信息安全管理制度适用于xxxx公司所有员工及合作伙伴。等等描述
责任声明:
描述违反信息安全管理制度的员工将怎么处理,合作伙伴将怎么处理;发现滥用行为,应当及时向管理团队报告,等等责任与义务方面的事情。
法律法规:
如果有需要遵守的法律法规,在这里列出名字

信息安全管理通用要求

通用要求是指信息安全体系建设中可以用于很多场景的要求,主要有下面几个部分。

信息安全管理团队

  • 团队的职责
  • 团队的成员
  • 团队联系方式

这个声明可以让员工能够在发现信息安全事件时,第一时间知道通知谁以及如何通知,对应了制度中“如果发现滥用行为,应当及时向管理团队报告”

密码管理规范

声明密码的声明周期,强度要求。可以针对不同的应用场景来分别定制,普通账号密码强度要求稍微弱一些,重要账号,例如财务,人事,IT管理员等特权账号,密码强度要高一些。

但其实实际操作中并没有区分对待,都是统一要求的。

这里需要注意一个尺度和组合方案的问题,如果要求过高,比如要求特殊字符+数字+字母大小写+乱序+最少17位。这种密码强度很大,但很有可能造成不便记忆,导致员工把密码写在了便签纸上贴在显示器旁边。。。。那么针对这种情况,应当考虑MFA,并且考虑SSO,否则每次进入到其他系统就要来一遍密码会引起员工极大的反抗情绪。

另外,过长的密码可能会导致某些系统登陆不上了,比如有些交换机,最多支持16位密码,公司强制要求使用17位密码,这样就冲突了,如果使用了SSO的话还会发生登陆不到控制界面的情况。

所以密码当然是越强越好,但也要契合实际。在有好的解决方案的情况下可以使用强密码,但当前预算或技术不足以支撑好的解决方案,应当适当放宽密码策略,并加强纵深防御来进行缓解。

博主依照自己的经验,在条件有限的情况下,密码强度应当:

  • 至少要保证8位(数字+字母+特殊字符)
  • 每90天必须修改一次

有条件的话:

  • 至少要保证14位(数字+字母+特殊字符)
  • 每60天必须修改一次
  • 24小时内只能修改一次(防止用户使用xxxxxxxx作为密码,到期后修改为yyyyyyyy,然后马上又修改回xxxxxxxx)
  • 不能有连续字母(不能abcde这样的顺序连,最好能实现不能qazwsxedc这样的键盘顺序连)
  • 不能使用历史记录中的前24次密码
  • 密码与上次密码至少有3位不同(防止xxxxxx1,下次xxxxxxx2这样的情况)
    尽可能上MFA和SSO,密码强度可以适当加强。

无论怎样,abc123这样的弱密码是绝对不能接受的。

账号及权限管理规范

应当对账号进行分类,不同用途的账号有不同的命名规范,有不同的策略来控制。例如生产账号,这种账号一般都不会log off(强密码),也不需要连接外网(防火墙禁掉外网访问),也不需要太多权限(最小化权限)。而员工账号则需要外网权限,经常log in 和 log off,权限也根据自己角色的不同而不同;管理员账号则需要更强大的保护。
权限设置应当保证最小化权限原则,有条件的可以采用RBAC(基于角色的访问控制)
权限这里需要注意一点,有的员工在企业中有转岗的情况,转岗导致旧岗位权限没有移除,新岗位权限又加到了账号上。这种情况应当设置定期的审核机制,找出不需要的权限并移除。

风险管理规范

风险管理规范中规定了企业的

  • 风险定级
  • 风险管理流程
  • 风险列表
  • 风险处置方式
    等等
    其中风险定级应当结合风险评估结果和企业能够承受的损失来定,有些行业会有相关的要求。
    关于风险管理,博主会在风险评估的部分讨论。

合规管理规范

合规管理规范是指符合相关的法律法规,包括等级保护,GDPR,ISO等,有一些行业可能制定了本行业的一些行业规范
有一些则是行业管理部门制定好了保护要求。比如广电行业,广电总局要求所有地方电视台的媒资系统必须通过等保二级,播控系统必须通过等保三级

信息安全管理扩展要求

扩展要求是指针对不同的领域而需要做的一些安全措施

基础设施安全规范

基础设施是指信息系统硬件环境的管理,比如机房,网络设备,主机,服务器,操作系统等。
机房主要是物理上的防护,比如防水防尘,电源冗余,机柜,承重,门禁等等。
网络设备,操作系统的管理中可以使用安全基线,比如CIS发布的安全基线。

应用系统安全规范

如果企业有自己开发的应用,那么需要制定需求分析流程,设计流程,开发流程,测试流程,上线流程等。确保安全设计在应用开发的每个阶段中都有体现。

数据保护安全规范

在2021年9月1日,我们正式实施了数据安全保护法,明确规定了数据安全保护应尽义务和职责。
数据安全保护应当涵盖数据整个生命周期,包括采集,使用,传输,存储,销毁等。
在2021年11月1日,个人隐私保护法也将实施,对个人隐私数据的保护提出了更高的要求。
规范可以参照这两个法律来编写

人员安全管理规范

人员安全主要是指人员的聘用前的背景调查,聘用中的行为准则,离职时的离职流程,例如权限撤销,账号销毁等。
同时还要制定来宾来访流程,以及来宾设备联网流程。

安全事件管理规范

事件管理包括事件的发现,记录,响应,处置,分析,总结,定责等方面。
事件可以是来自内部的事件,例如员工不遵守规章制度,有滥用信息系统的行为,应当如何汇报,如何处置;事件也可以来自企业外部,例如发现攻击行为,如何汇报,如何恢复,如何留存证据等

业务连续性和灾难恢复

业务连续性是指在企业业务遭到破坏的时候,如何保证业务的继续,不至于中断,或者中断后能够快速的恢复。
灾难恢复是指企业业务遭到重创,已经不可能继续下去,必须在另起炉灶重新开张的情况下该如何做。
业务连续性和灾难恢复都属于流程类的东西,其目的在于保证业务遭受伤害时,每个人都知道自己应该干什么。

企业信息安全管理建设(2)相关推荐

  1. 企业信息安全管理建设(0)

    首先,这一定会是一个系列文章,但究竟会有多少期,我也不确定,这取决于我的时间和精力,也许我会有一个总纲,照着总纲一步一步写完:或者我可能会想到哪里写到哪里:再或者我会根据写文章期间发生的一些安全事件, ...

  2. 企业信息安全管理建设(1)

    昨天刮了一夜的大风,今天天气格外晴朗,但风没见小,降温了,明显比上周凉了不少.早上我想开车去公司上班,但十一假期去了外地,车停在了树下,假期回来车上全是落叶,我人又懒,周末是向来能不出门就不出门的,车 ...

  3. [第180期]我在51CTO的提问:如何做好企业信息安全管理

    [第180期]我在51CTO的提问:如何做好企业信息安全管理 149banzhang 发表于 2010-10-15 14:08:51 第 5 楼 窗体顶端 李工:您好,很高兴能在51CTO与您交流,我 ...

  4. 工控企业信息安全管理重点(上)

    工控安全企业信息管理背景 我们知道,工控企业在运转.发展的过程中,需要技术.大型设备的支持,设备的正常运转.高效运作是企业生存和发展的前提,那么既然是机器就需要软件和系统的支持,这就给了在全球范围内从 ...

  5. 企业信息安全管理流程

    介绍 编写目的 本文件定义了公司IT服务团队及其客户的IT运维环境信息安全管理规范,信息安全管理体系的策划.风险评估.体系文件编写.体系建立完成后的运转和执行.持续改进.审计.报告.培训流程.规定公司 ...

  6. ISO27001信息安全管理体系建立

    作为乙方如何更好的为甲方建立信息安全体系 体系建立的重要几点 1.了解客户的需求: 2.根据需求制定信息安全方案: 3.领导层的支持: 4.全体员工的配合: 5.足够的乙方服务能力 了解客户需求 在项 ...

  7. 大型企业信息安全管理实践(05年第六期)

    中兴通讯 陈 飞   我所在的企业是一个超万人的大型高科技企业,我在其中从事信息安全管理方面的工作,每天接触到各种安全管理理念.安全技术.安全产品,感受到信息安全对一个企业怎么说都不为过的重要性.这里 ...

  8. 如何从从工程师跨步管理者,微博信息安全总经理手把手教你企业安全体系建设...

    <企业信息安全管理:从0到1>这本书上市以来,得到读者的一致好评,本文引自本书序言,由360首席安全官,大数据协同安全技术国家工程实验室常务副主任杜跃进老师执笔.详解了这本书出现的重要性和 ...

  9. alm系统的使用流程_支持MBSE的企业信息管理系统发展与启示

    导读:本文介绍了模型管理与MBSE.产品生命周期管理(PLM)的概念及其之间的关系,分析了不同行业的模型管理现状,提出了模型管理的解决方案与技术方向,最后给出了建设企业信息管理系统的建议,以期为企业信 ...

最新文章

  1. 在SQL Server中保存和输出任意类型的文件
  2. ssh开启root用户登录
  3. VTK:Filtering之CombinePolyData
  4. Oracle入门(十二C)之表修改
  5. xml 数字签名 破解_JAVA中带有数字签名的XML安全性
  6. CSS3动画常用贝塞尔曲线-效果演示
  7. 华为诺亚方舟预训练语言模型NEZHA、TinyBERT开源代码
  8. C++设计模式::装饰模式or代理模式or面向切片编程(AOP)
  9. 科罗拉多州立大学计算机科学专业,2020年科罗拉多州立大学有哪些优势专业
  10. 瑞斯康达nms_瑞斯康达接入网设备维护标准手册.docx
  11. 计算机二级修改并应用基本简历模板,2020年新版个人简历模板大全可编辑(word版).docx...
  12. 电压表c语言程序,数字电压表 数字电压表控制C语言程序.doc
  13. Sql Developer 调试函数和过程 Sql window Command window Program window Test window 区别
  14. SP2-0734: unknown command beginning lsnrctl st... - rest of line ignored.
  15. 在平板电脑与移动3G大爆炸的时代 昔日霸主微软的反击
  16. Ubuntu解决外接2K屏分辨率低问题
  17. vue 中deep使用
  18. Springboot毕业设计毕设作品,微信垃圾分类小程序系统 开题报告
  19. Java 接收返回json数据动态取data里的值
  20. JS红宝书·读书笔记

热门文章

  1. java中使用句号问号和感叹号分割_逗号,句号,感叹号和问号
  2. js如何获取当前时间 并格式化
  3. uni-app 小项目开发 仿小米商城 后端提供数据3
  4. 正在沉默中的拼多多,是爆发还是面临死亡
  5. uniapp 安卓端实时监听网络状态
  6. 研究表明多喝水对心脏好,喝少了身体会有这5种变化
  7. C语言:L1-016 查验身份证 (15 分)
  8. 自动换行 html dw,Dreamweaver不自动换行怎么办
  9. 忘记密码 (通过邮箱来进行重新设置密码)
  10. Nginx中sendfile的作用