论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 16 篇帖子 ]  前往页数 1, 2  下一页
作者 内容
 文章标题 : 给个思路啊各位大侠!!公司怎么开展信息安全管理工作?
帖子发表于 : 2013-11-21 10:09 
离线
中级用户

注册: 2007-03-05 19:37
最近: 2016-06-23 21:51
拥有: 1,385.20 安全币

奖励: 55 安全币
在线: 4255 点
帖子: 136
当前状况:
公司刚刚完成iso27001体系认证,管理程序,规定一大堆(我来公司之前刚弄完,整个过程没有参加很遗憾)
本部门主要负责体系的管理,IT负责技术
公司分为业务部门和职能部门,主营业务是软件开发,同时负责客户的项目实施(外地项目实施,管理),管理方面主要基于项目。

当前管理:
按部门设立安全员(正在操作中。。。。),负责本部门的资产登记,转移,终端安全检查(编写了个公司终端安全检查表)
编写了防病毒、网络信息系统的预案(还应该有哪些预案应该写??)

打算做的事:利用公司做体系时识别的风险点,编写处置办法
将信息安全跟公司业务结合,加入到项目管理


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 给个思路啊各位大侠!!公司怎么开展信息安全管理工作?
帖子发表于 : 2013-11-21 11:59 
离线
顶级用户

注册: 2010-07-02 16:46
最近: 2014-09-17 22:21
拥有: 7,774.00 安全币

奖励: 131 安全币
在线: 12631 点
帖子: 1386
都已经过了ISO了,按照体系来呗。

有问题找13,或者老李吧


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 给个思路啊各位大侠!!公司怎么开展信息安全管理工作?
帖子发表于 : 2013-11-21 12:21 
离线
中级用户

注册: 2007-03-05 19:37
最近: 2016-06-23 21:51
拥有: 1,385.20 安全币

奖励: 55 安全币
在线: 4255 点
帖子: 136
[quote="staryang01"]都已经过了ISO了,按照体系来呗。

有问题找13,或者老李吧[/quote]


证书公司是拿到了,文件都是他们那个时候现编的,具体措施不明,

主要想问就是怎么把信息安全工作跟公司业务结合开展起来,,,,


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 给个思路啊各位大侠!!公司怎么开展信息安全管理工作?
帖子发表于 : 2013-11-21 14:28 
离线
顶级用户

注册: 2010-07-02 16:46
最近: 2014-09-17 22:21
拥有: 7,774.00 安全币

奖励: 131 安全币
在线: 12631 点
帖子: 1386
这个都说了,要看领导的支持!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 给个思路啊各位大侠!!公司怎么开展信息安全管理工作?
帖子发表于 : 2013-11-21 16:25 
离线
超级用户

注册: 2008-11-26 20:21
最近: 2014-10-12 16:16
拥有: 1,491.80 安全币

奖励: 2211 安全币
在线: 2147 点
帖子: 565
先按测量做一次,你就知道要做啥了

现在切入业务,说明以前的都只是文字,做完风险评估就能切进去了。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 给个思路啊各位大侠!!公司怎么开展信息安全管理工作?
帖子发表于 : 2013-11-21 20:38 
离线
中级用户

注册: 2007-03-05 19:37
最近: 2016-06-23 21:51
拥有: 1,385.20 安全币

奖励: 55 安全币
在线: 4255 点
帖子: 136
[quote="flowdragon"]先按测量做一次,你就知道要做啥了

现在切入业务,说明以前的都只是文字,做完风险评估就能切进去了。[/quote]


“先按测量做一次” 啥意思?

风险评估没具体做过,心虚的很,现在光看GBT20984 有种无法上手的感觉,


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 给个思路啊各位大侠!!公司怎么开展信息安全管理工作?
帖子发表于 : 2013-11-21 20:40 
离线
中级用户

注册: 2007-03-05 19:37
最近: 2016-06-23 21:51
拥有: 1,385.20 安全币

奖励: 55 安全币
在线: 4255 点
帖子: 136
[quote="staryang01"]这个都说了,要看领导的支持![/quot

领导还是挺支持的,同样想把体系具体的落实下来


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 给个思路啊各位大侠!!公司怎么开展信息安全管理工作?
帖子发表于 : 2013-11-22 08:57 
离线
初级用户

注册: 2012-02-14 08:49
最近: 2014-01-20 13:30
拥有: 424.00 安全币

奖励: 2 安全币
在线: 657 点
帖子: 36
1. 抓重点 既然公司主业是软件开发,那先让安全工作融入到开发和项目管理,形式就是自己组织一伙人在项目生命周期的几个阶段开个会,讨论一下安全需求(必须把开发、项目管理部门领导都带着);或者是利用现有的组织形式(各种委员会或领导小组、或变更管理或产品管理之类组织),参与进去,将27001体系的东西能融合到整个公司运行的管理流程中。(这个应该是最难的,要搞得定领导,整的了制度,标准、基线、风险得天天挂嘴上,关键是如果要做的实实在在的工作的话,27000体系的东西自己得门清)
2.检查,保证各种制度能够落地,同时准备好各种文件,准备各类的检查
3.培训(安全意识培训和技术培训)

Ps:安全和功能是背道而驰两兄弟,工作尽力而为就好。。。。上述三个方面,把任一做好了都不容易


--------本帖迄今已累计获得48安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 给个思路啊各位大侠!!公司怎么开展信息安全管理工作?
帖子发表于 : 2013-11-22 09:11 
离线
顶级用户

注册: 2010-07-02 16:46
最近: 2014-09-17 22:21
拥有: 7,774.00 安全币

奖励: 131 安全币
在线: 12631 点
帖子: 1386
我觉得风险评估就很难做,仅仅对体系熟悉还远远不够,还要对业务熟悉,对公司的发展和愿景有深刻的认识。

反正我觉得比较难做。


--------本帖迄今已累计获得4安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 给个思路啊各位大侠!!公司怎么开展信息安全管理工作?
帖子发表于 : 2013-11-22 10:03 
离线
初级用户

注册: 2012-02-14 08:49
最近: 2014-01-20 13:30
拥有: 424.00 安全币

奖励: 2 安全币
在线: 657 点
帖子: 36
staryang01 写道:
我觉得风险评估就很难做,仅仅对体系熟悉还远远不够,还要对业务熟悉,对公司的发展和愿景有深刻的认识。

反正我觉得比较难做。


所以说领导的支持就是在这个地方了,真正的领导支持应该是高层的战略发展规划中有信息安全。由此引出,培训的时候要有针对性的开展对管理层的信息安全意思的培训。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 给个思路啊各位大侠!!公司怎么开展信息安全管理工作?
帖子发表于 : 2013-11-22 10:14 
离线
中级用户

注册: 2007-03-05 19:37
最近: 2016-06-23 21:51
拥有: 1,385.20 安全币

奖励: 55 安全币
在线: 4255 点
帖子: 136
[quote="wwwindd"][quote="staryang01"]我觉得风险评估就很难做,仅仅对体系熟悉还远远不够,还要对业务熟悉,对公司的发展和愿景有深刻的认识。

反正我觉得比较难做。[/quote]

所以说领导的支持就是在这个地方了,真正的领导支持应该是高层的战略发展规划中有信息安全。由此引出,培训的时候要有针对性的开展对管理层的信息安全意思的培训。[/quote]

现在可以明确的是部门领导是真想把安全做好,公司做体系现在了解到的是集团公司要求来做,只要不是投入太多,公司的领导还是支持的。

现在有个想法就是要求各部门编写自己的 《业务连续性计划和影响分析》,明确本部门业务目标和关键业务系统,这样来实现跟公司管理的结合


--------本帖迄今已累计获得38安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 给个思路啊各位大侠!!公司怎么开展信息安全管理工作?
帖子发表于 : 2013-11-22 10:41 
离线
中级用户

注册: 2008-03-07 09:56
最近: 2015-08-19 10:09
拥有: 1,087.30 安全币

奖励: 148 安全币
在线: 1614 点
帖子: 119
关注一下,关键要看领导,从上往下弄是正理,看看不同的境遇,我们是大领导不关心,领导表面关心不关注,我们就只能来这里关注学习了。


--------本帖迄今已累计获得38安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 给个思路啊各位大侠!!公司怎么开展信息安全管理工作?
帖子发表于 : 2013-11-22 11:37 
离线
中级用户

注册: 2007-03-05 19:37
最近: 2016-06-23 21:51
拥有: 1,385.20 安全币

奖励: 55 安全币
在线: 4255 点
帖子: 136
[quote="jordn"]关注一下,关键要看领导,从上往下弄是正理,看看不同的境遇,我们是大领导不关心,领导表面关心不关注,我们就只能来这里关注学习了。[/quote]

是否因为大领导对安全不了解,所以不关心,需要对领导进行“洗脑”;

是否可以通过对信息安全进行测量(ISO27004),得到“投入产出”的情况,汇报给领导,利于开展工作?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 给个思路啊各位大侠!!公司怎么开展信息安全管理工作?
帖子发表于 : 2013-11-22 16:37 
离线
超级用户

关注按钮

注册: 2008-04-05 11:38
最近: 2017-12-28 17:31
拥有: 4,459.70 安全币

奖励: 2236 安全币
在线: 9545 点
帖子: 401
今天心情不错,洋洋洒洒写一些仅供LZ参考

冒似一个很好回答的问题,其实是一个难以回答的问题,
了解的越多,理解的越多,越难以下手。
因为
各个企业对安全的重视程度不一样
各个企业安全建设的程度不一样
各个企业做事风格不一样
安全部门在各个企业地位不一样

凡是能想到做安全管理的单位都是具备一定规模,在行业中有了较强竞争力,对安全有了一定的认识,
都进行了一些安全建设。这种企业在此基础上从哪里开始做为好?

一般的企业做信息安全:事件驱动、政策驱动、业务驱动三种类型

业务驱动型
诸如业界做的好公司,如HW,BAT等,从广度,高度,深度三方面建立的较为完善的防御监控体系。
这类公司有钱,绝大部分安全工作已经做完了在运维阶段,有些安全工作正在做;不能做的、做了没效果的、做了落不了地的,
换个团队,换个人做效果也一样,没什么质的变化。
在这类公司安全部门地位较高,有一定的话语权。

政策驱动型
诸如国企垄断行业等单位,这类企业说是重视安全,其实也就管理层嘴上说说,监管单位来检查了才热闹一下,
平时是姥姥不疼舅舅不爱的,部门地位极低,基本上都是IT部门中的屌丝部门,想推动业务部门安全意识提升太难了,
如果是这种单位,你就老老实实的按照政策去做,潜移默化之后在做一些深入的工作,
比如强化技术细节,在IT部门内部建立规范管理制度和流程,慢慢推广到全公司,一个或几个部门进行推动。
贸然全公司推动(如全员安装终端准入,抵制力量不是一般的强,多数项目效果较差),得罪部门太多,必然死路一条。

事件驱动型
这些公司基本上就是救火队,有安全事故就出动下,没安全事故恨不得让安全人员转岗,一般都是运维人员当安全人员用
,进去做安全实际是做IT运维,老板舍不得掏银子阿。
在这种企业就不是做安全的,混口饭吃而已。

我不知道LZ公司属于那种
如果是我做,我先了解下部门地位,组织架构;
然后看看公司有没有应急响应的事,有就优先应对
然后在公司潜伏潜伏,了解下企业的实际情况,
然后通过评估的方式设计企业的一整套安全架构(解决要什么东西,为什么要,为何放在这个地方,为何要写这个文件,为何要覆盖这些部门,需要多少成本,业界有哪些产品服务可以提供,如何判定这些提供商的东西是合格的等)
如果以传统风险评估VAT模型做架构设计手段,基本不会成功;

然后遵照公司的实际情况(比如资源的支持等),优先选定能够协调好的工作先开展,终端管理大领导支持那就优先做,IT部门好协调的优先做,什么人事财务等部门的安全工作我看还是慢行吧。

关于上面你提到的信息安全和业务相结合,安全度量什么的,这个一定是企业安全做到一定的成熟度之后的事,绝大部分企业离这个还差10条街,
你优先开展,铁定没戏;度量做的太细,累的要死还没出成绩就有人到领导那狂打你们小报告;做的太粗,度量不出效果。

看看以下的问题:
度量谁(没有具体的架构无法全面度量对象,无法有效评估目前企业的安全成熟度)
度量标准不能统一(不同的部门,不同的业务系统安全要求不一样,为每个业务系统,每个部门写个度量指标就失去了全局的意义)
如何判定部分符合的标准,比如我有软件开发规范,你如何判定我写的好与写的烂,可能我就随便抄一下应付你的,对实际的安全软开没有任何帮助。你也只能度量我有OR没有,对提升软件安全开发质量没什么帮助,还会成为让安全部门写代码的扯皮工具。

目前我只看到几家公司做到了一定程度上的安全和业务结合
淘宝上有差评师,如何解决这个业务安全的问题
淘宝上有人卖衣服,实际上卖的枪支弹药,如何解决这个业务安全的问题
在设计图纸需要评审的情况下,有人在遵循公司流程的情况下,把文件提交给和自己关系较好的专家去评审,如何解决
游戏公司的外挂如何解决
金融行业的反洗钱,如何通过安全控制来实现

安全介入业务何其难,轻则降低效率,重则改变业务流程走向,面对公司最强势的业务部门的挑战,
别说安全部门,IT部门要靠边站。

这里还没涉及到部门与部门之间的利益争斗,那个更不是我等技术屌丝能玩的转的了。


--------本帖迄今已累计获得66安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 给个思路啊各位大侠!!公司怎么开展信息安全管理工作?
帖子发表于 : 2013-11-22 23:29 
离线
中级用户

关注按钮

注册: 2011-08-31 07:42
最近: 2016-04-23 20:14
拥有: 1,647.00 安全币

奖励: 9 安全币
在线: 4384 点
帖子: 133
连安全员都没设,当初是怎么过得ISO27001


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 16 篇帖子 ]  前往页数 1, 2  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012