信息安全管理实践.ppt_第1页
信息安全管理实践.ppt_第2页
信息安全管理实践.ppt_第3页
信息安全管理实践.ppt_第4页
信息安全管理实践.ppt_第5页
已阅读5页,还剩43页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

信息安全培训课程 安全管理实践 SecurityTeam 开源改变世界 2020 2 17 内容提纲 安全管理实践 安全管理概述 IT安全管理实践 2020 2 17 2020 2 17 背景介绍 技术措施需要配合正确的使用才能发挥作用假如你把钥匙落在锁眼上呢 保险柜就一定安全吗 2020 2 17 背景介绍 3G 4G 精心设计的网络防御体系 因违规外连形同虚设 防火墙能解决这样的问题吗 2020 2 17 面临的问题及挑战 最高管理层对信息安全的重视和支持力度不够缺乏明确的信息安全方针组织架构及职责不清晰专职人员数量及经验不足安全管理体系不完善安全管理措施落实不到位重技术轻管理的错误思想 体系化安全管理模式 依据安全管理体系标准参考安全管理实践经验结合本单位实际管理情况建立安全管理体系实施体系化安全管理 2020 2 17 2020 2 17 体系整体框架回顾 安全管理体系是PDCA动态持续改进的一个循环体 2020 2 17 体系文件结构回顾 9 明确方针 定义架构岗位人员 职责清晰管理有方 重在执行 样例 2020 2 17 某银行管理组织架构 一 2020 2 17 某银行管理组织架构 二 2020 2 17 某银行管理组织架构 三 2020 2 17 分行A 2020 2 17 安全管理现状分析 总行 分行B 支行A 支行B 支行C 支行D 支行E 支行F 信息科技管理委员会设信息安全领导小组信息科技部设信息安全管理小组安全管理小组设安全管理员安全保卫部设保安员 分行综管部设专职 兼职安全员分行保卫部设保安员 支行设兼职安全员支行设保安员 体系文件 2020 2 17 场景一 虚拟的管理架构 我们设立安全管理小组 负责全面的安全管理工作 安全管理职责明确 安全管理架构健全 配备足够的人员 安全管理体系完善 哦 看起来好厉害的样子 那么这个小组具体是哪个部门 管理架构都由哪些部门和岗位组成 2020 2 17 场景二 名为领导实为员工 小王 桌管系统安装部署怎么样了 领导 我接电话呢 你问问厂商 小王 已经部署到XXX分行了 你去分行安装下客户端 领导 我忙别的呢 你去吧 小王 XXX分行客户端安装完了 你去控制台看看上线没 领导 还是你去吧 我有个材料要写 领导 我明天请假 还是你写吧 2020 2 17 场景三 名为员工实为领导 小李 这事就交给你了 你抓紧办 领导 跟您汇报下安全管理工作 目前 各部门不是太配合 请求领导组织协调下 可是 领导 您能帮联系下各部门领导不 否则我的工作不好开展 你打电话就说我说的 让他们积极配合 领导 年度信息安全规划和年终工作报告我写不了 涉及总体架构和全面工作情况 我不是很了解还是您写吧 小李 你是安全管理岗 专业能力强 所有信息安全工作都由你负责 2020 2 17 场景四 专职人员少 恩 系统 网络 应用 数据 资产 终端等安全管理情况呢 领导 跟您汇报下本周工作 目前 按体系文件要求 环境安全管理 人员安全管理工作正常 领导 我就一个人 这么多管理工作 我一下子做不过来 这怎么行 安全管理工作很重要 领导 我一个人能力有限 工作只能串行逐步推进 小强 你作为公司的员工 思想得有觉悟 要有奉献精神 时间不够可以加班做 2020 2 17 场景五 职责不明确 小张 某业务部门要上套系统 你去参会 从安全技术防护 安全产品部署 安全测试方面提出需求建议 啊 领导 这些我不是特别懂 领导 我只是安全管理职责 安全技术 安全产品 安全测试不在我职责范围内 我怕做不好 那怎么行 这些都是信息安全相关的 都由你负责 小张 现在公司需要专业的全能型人才 你去吧 2020 2 17 场景六 体系不完善 哦 制度体系很庞大 出现散乱的情况很正常 至于缺少的制度 小刘 你上网找找补充进去就行了 领导 跟您汇报下工作 通过风险检查发现公司的制度有些散乱 而且缺少一些方面的制度约束 啊 领导 这不好吧 别的制度只能参考 与我公司的实际情况不一样 我建议依据国内外标准和行业最佳实践 并结合我公司实际情况 建立一套完善的安全管理体系 小刘 你的想法是好的 可现在公司最重要的是拓展业务 制度完不完善不重要 没有一个完善的体系 怎么管理这么庞大的组织 如何相互协调配合 职责都不明确 怎么给业务拓展提供保障 2020 2 17 场景七 制度不落地 哦 你说的意思是你的工作没有好好做是吧 领导 跟您汇报下工作 我们现在的制度体系还没有相应的人员去推进落地 仍存在于纸面化 领导 不是这样的 我已经很尽心去做了 只不过我一个人确实能力有限 目前 环境安全 人员安全 系统安全 网络安全管理已落实相关工作 可其他方面确实没那么多精力 小陈 安全管理工作公司领导非常重视 安全无小事 尤其是我们保障部门 领导 你说的我都明白 可我确实没有更好的办法 实在不行我多加点班 好的 小陈我相信你 努力提升 一定要将制度落地 做好本职工作 2020 2 17 场景八 重技术轻管理 哦 具体是哪方面 领导 我觉得我们安全管理工作还是没有完全展开 领导 我们对网络安全 系统安全 终端安全 数据安全等方面的管理投入还有所不足 什么意思 我们上了IDS IPS 防火墙 WAF 安全审计 抗DDOS 桌管 脱敏这么多设备设施 可是领导 这些设备具体情况 我们并没有专人详细去看 组织人员去分析啊 好了 小赵 我们部署了这么多技术产品防护 管理稍差点没什么 2020 2 17 一种体系文件框架 体系文件 总纲 安全事件管理 符合性管理 持续改进管理 2020 2 17 总纲文件结构 体系管理总纲文件 一阶 安全管理架构及岗位职责文件 二阶 体系适用性声明 三阶 体系术语定义表 三阶 总纲 2020 2 17 人员安全管理文件结构 人员安全管理 员工安全管理办法 二阶 外来人员安全管理办法 二阶 外来人员安全管理实施细则 三阶 员工安全管理实施细则 三阶 人员培训管理实施细则 三阶 2020 2 17 资产安全管理文件结构 资产安全管理 资产安全管理办法 二阶 资产安全管理实施细则 三阶 介质安全管理实施细则 三阶 2020 2 17 访问控制管理文件结构 访问控制管理 访问控制管理办法 二阶 访问控制管理实施细则 三阶 机密资源管理实施细则 三阶 2020 2 17 环境安全管理文件结构 环境安全管理 环境安全管理办法 二阶 办公区安全管理实施细则 三阶 机房环境安全管理实施细则 三阶 2020 2 17 系统和网络安全管理文件结构 系统和网络安全管理 系统和网络安全管理办法 二阶 系统与网络安全管理实施细则 三阶 漏洞管理实施细则 三阶 防病毒管理实施细则 三阶 入侵检测管理实施细则 三阶 2020 2 17 数据安全管理文件结构 数据安全管理 数据安全管理办法 二阶 数据安全管理实施细则 三阶 日志管理实施细则 三阶 2020 2 17 终端安全管理文件结构 终端安全管理 终端安全管理办法 二阶 终端安全管理实施细则 三阶 2020 2 17 开发安全管理文件结构 开发安全管理 开发安全管理办法 二阶 开发项目安全管理实施细则 三阶 2020 2 17 外包安全管理文件结构 外包安全管理 外包安全管理办法 二阶 外包安全管理实施细则 三阶 2020 2 17 安全事件管理文件结构 安全事件管理 安全事件管理办法 二阶 安全事件管理实施细则 三阶 2020 2 17 符合性管理文件结构 符合性管理 符合性管理办法 二阶 符合性管理实施细则 三阶 2020 2 17 持续改进管理文件结构 持续改进管理 持续改进管理办法 二阶 持续改进管理实施细则 三阶 内审与管审管理办法 二阶 安全检查管理办法 二阶 内审与管审管理实施细则 三阶 安全检查管理实施细则 三阶 2020 2 17 安全管理架构 2020 2 17 管理者代表职责 总体协调 推动管理体系运行 分配管理体系具体人员岗位 为安全管理体系的落地实施和持续改进 协调提供所需资源 审批管理体系文件 以确保管理体系的计划 实施 监控 改进机制与管理体系方针 目标 法律法规要求保持一致 依据管理体系方针及总体目标 指导制定并审批体系运行绩效评价指标 推动安全管理体系的宣贯 2020 2 17 安全执行经理职责 为管理者代表任命管理体系各岗位人员提供建议 组织制定并审核管理体系文件 制定信息安全发展规划 设计安全管理架构 推动管理体系各项活动有效执行和改进 并对管理体系运行的总体绩效负责 组织制定 考核管理体系的绩效测量指标 组织实施安全管理体系落地执行 并向最高管理者及管理者代表报告管理体系总体运行情况 2020 2 17 安全管理员职责 贯彻 执行信息安全管理体系文件要求 制定信息安全管理规范及策略 推进 落实信息安全管理工作 负责信息安全管理的日常管理 安全检查以及组织协调问题整改工作 组织 实施信息安全相关培训工作 信息安全事件的组织协调工作 其他信息安全管理相关的工作 2020 2 17 信息安全员职责 具体落实信息安全管理体系文件要求 制定信息系统安全的技术性方案 推进 落实信息安全技术研发工作 负责信息系统安全的日常检查及整改落实工作 安全测试 安全技术培训的实施工作 信息安全事件的应急处置工作 其他信息安全技术相关的工作 2020 2 17 质量监督员职责 根据符合性要求 定期开展检查工作 制定持续改进计划 并定期修订 评审体系文件 制定内审与管审计划 定期开展审核工作 组织相关人员定期开展信息安全检查工作 制定符合性 内审与管审 安全检查等相关报告 并上报安全执行经理 其他持续改进相关的工作 2020 2 17 体系化安全管理流程 管理办法 管理细则 指导 执行 记录 检查评估 绩效考核 做什么 怎么做 落地 做没做 做得好不好 做得更好 改进 2020 2 17 体系化安全管理实例 一 2020 2 17 体系化安全管理实例 二 2020 2 17 精细化安全管理的一点想法 安全管

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论