信息安全管理实践

信息安全培训课程——安全管理实践SecurityTeam开源改变世界SecurityTeam2020/4/7内容提纲安全管理实践安全管理概述背景介绍安全管理现状分析管理组织架构案例IT安全管理实践面临的问题及挑战安全管理体系回顾体系化安全管理模式安全管理案例场景体系文件建立安全管理架构及人员职责体系化、精细化安全管理SecurityTeam2020/4/7SecurityTeam2020/4/7背景介绍技术措施需要配合正确的使用才能发挥作用假如你把钥匙落在锁眼上呢？保险柜就一定安全吗？SecurityTeam2020/4/7背景介绍防火墙内网主机Internet防火墙精心设计的网络防御体系，因违规外连形同虚设防火墙能解决这样的问题吗？SecurityTeam2020/4/7面临的问题及挑战最高管理层对信息安全的重视和支持力度不够缺乏明确的信息安全方针组织架构及职责不清晰专职人员数量及经验不足安全管理体系不完善安全管理措施落实不到位重技术轻管理的错误思想。。。。。。SecurityTeam体系化安全管理模式依据安全管理体系标准参考安全管理实践经验结合本单位实际管理情况建立安全管理体系实施体系化安全管理2020/4/7SecurityTeam2020/4/7体系整体框架回顾安全管理体系是PDCA动态持续改进的一个循环体SecurityTeam2020/4/7体系文件结构回顾9明确方针、定义架构岗位人员、职责清晰管理有方、重在执行记录四阶执行记录和报告-规章-制度-流程二阶流程策略、制度–管理细则–操作规程–计划、表格、报告、模板三阶职能组职能组职能组职能组操作规范1操作规范2操作规范3操作规范4关键岗位4关键岗位3关键岗位2关键岗位1总纲一阶目标、范围、承诺、责任等SecurityTeam2020/4/7某银行管理组织架构（一）SecurityTeam2020/4/7某银行管理组织架构（二）办公室市场营销部营运管理部营业部分行职能部门风险管理部综合管理部财务会计部零售银行部企业金融部保卫部SecurityTeam2020/4/7某银行管理组织架构（三）支行行长主抓全面工作副行长（主抓营销）副行长（主抓核算）副行长（主抓管理、服务）对私客户经理岗对私柜员岗对私柜员岗对私柜员岗个人业务顾问对私柜员岗对公客户经理岗对公柜员岗对公柜员岗行长助理协助行长处理日常工作SecurityTeam2020/4/7SecurityTeam分行A2020/4/7安全管理现状分析总行分行B支行A支行B支行C支行D支行E支行F信息科技管理委员会设信息安全领导小组信息科技部设信息安全管理小组安全管理小组设安全管理员安全保卫部设保安员分行综管部设专职/兼职安全员分行保卫部设保安员支行设兼职安全员支行设保安员专职人员数量职责是否清晰体系是否完善制度是否落地自上而下OR自下而上SecurityTeam体系文件2020/4/7场景一:虚拟的管理架构我们设立安全管理小组负责全面的安全管理工作安全管理职责明确安全管理架构健全配备足够的人员安全管理体系完善哦，看起来好厉害的样子！那么这个小组具体是哪个部门?管理架构都由哪些部门和岗位组成?。。。。。SecurityTeam2020/4/7场景二:名为领导实为员工小王，桌管系统安装部署怎么样了？领导，我接电话呢，你问问厂商。小王，已经部署到XXX分行了，你去分行安装下客户端。领导，我忙别的呢，你去吧。小王，XXX分行客户端安装完了，你去控制台看看上线没？领导，还是你去吧，我有个材料要写。领导，我明天请假，还是你写吧。你桌管的合同还没写呢，明天给我。SecurityTeam2020/4/7场景三:名为员工实为领导小李，这事就交给你了，你抓紧办。领导，跟您汇报下安全管理工作，目前，各部门不是太配合，请求领导组织协调下。可是，领导，您能帮联系下各部门领导不？否则我的工作不好开展。你打电话就说我说的，让他们积极配合。领导，年度信息安全规划和年终工作报告我写不了，涉及总体架构和全面工作情况，我不是很了解还是您写吧。小李，你是安全管理岗，专业能力强，所有信息安全工作都由你负责。SecurityTeam2020/4/7场景四:专职人员少恩？系统、网络、应用、数据、资产、终端等安全管理情况呢？领导，跟您汇报下本周工作，目前，按体系文件要求，环境安全管理、人员安全管理工作正常。领导，我就一个人，这么多管理工作，我一下子做不过来。这怎么行，安全管理工作很重要。领导，我一个人能力有限，工作只能串行逐步推进。小强，你作为公司的员工，思想得有觉悟，要有奉献精神，时间不够可以加班做。SecurityTeam2020/4/7场景五:职责不明确小张，某业务部门要上套系统，你去参会，从安全技术防护、安全产品部署、安全测试方面提出需求建议啊！领导，这些我不是特别懂。领导，我只是安全管理职责，安全技术、安全产品、安全测试不在我职责范围内，我怕做不好。那怎么行，这些都是信息安全相关的，都由你负责。。。。。。小张，现在公司需要专业的全能型人才，你去吧。SecurityTeam2020/4/7场景六:体系不完善哦，制度体系很庞大，出现散乱的情况很正常，至于缺少的制度，小刘，你上网找找补充进去就行了领导，跟您汇报下工作，通过风险检查发现公司的制度有些散乱，而且缺少一些方面的制度约束。啊！领导，这不好吧，别的制度只能参考，与我公司的实际情况不一样，我建议依据国内外标准和行业最佳实践，并结合我公司实际情况，建立一套完善的安全管理体系。小刘，你的想法是好的，可现在公司最重要的是拓展业务，制度完不完善不重要。没有一个完善的体系，怎么管理这么庞大的组织？如何相互协调配合？职责都不明确，怎么给业务拓展提供保障SecurityTeam2020/4/7场景七:制度不落地哦？你说的意思是你的工作没有好好做是吧？领导，跟您汇报下工作，我们现在的制度体系还没有相应的人员去推进落地，仍存在于纸面化。领导，不是这样的，我已经很尽心去做了，只不过我一个人确实能力有限，目前，环境安全、人员安全、系统安全、网络安全管理已落实相关工作，可其他方面确实没那么多精力。小陈，安全管理工作公司领导非常重视，安全无小事，尤其是我们保障部门。领导，你说的我都明白，可我确实没有更好的办法，实在不行我多加点班！好的，小陈我相信你，努力提升，一定要将制度落地，做好本职工作。SecurityTeam2020/4/7场景八:重技术轻管理哦？具体是哪方面？领导，我觉得我们安全管理工作还是没有完全展开。领导，我们对网络安全、系统安全、终端安全、数据安全等方面的管理投入还有所不足。什么意思？我们上了IDS、IPS、防火墙、WAF、安全审计、抗DDOS、桌管、脱敏这么多设备设施。可是领导，这些设备具体情况，我们并没有专人详细去看，组织人员去分析啊！好了，小赵，我们部署了这么多技术产品防护，管理稍差点没什么。SecurityTeam2020/4/7一种体系文件框架体系文件总纲人员安全管理资产安全管理访问控制管理环境安全管理系统和网络安全管理数据安全管理终端安全管理开发安全管理外包安全管理安全事件管理符合性管理持续改进管理SecurityTeam2020/4/7总纲文件结构体系管理总纲文件(一阶)体系管理者代表任命书(三阶)安全质量负责人任命书(三阶)安全人员岗位信息表(三阶)人员角色职责对应表(三阶)安全管理架构及岗位职责文件(二阶)体系适用性声明(三阶)体系术语定义表(三阶)总纲SecurityTeam2020/4/7人员安全管理文件结构人员安全管理员工安全管理办法(二阶)外来人员安全管理办法(二阶)外来人员安全管理实施细则(三阶)员工安全管理实施细则(三阶)人员培训管理实施细则(三阶)人员培训管理流程图(三阶)安全培训记录表(三阶)员工保密协议(三阶)员工背景调查表(三阶)员工离职申请表(三阶)员工离职工作交接及权限回收表(三阶)外来人员驻场申请表(三阶)外来人员保密协议(三阶)外来人员背景调查表(三阶)外来人员离场申请表(三阶)外来人员离场工作交接及权限回收表(三阶)SecurityTeam2020/4/7资产安全管理文件结构资产安全管理资产安全管理办法(二阶)资产安全管理实施细则(三阶)资产处置记录表(三阶)资产登记标识卡(三阶)信息资产台账(三阶)资产申请审批表(三阶)资产交付使用记录表(三阶)资产维修申请审批表(三阶)资产分类分级清单(三阶)外部服务商保密协议(三阶)介质安全管理实施细则(三阶)介质领用\归还记录表(三阶)介质抽检记录表(三阶)介质转储记录表(三阶)介质清理\销毁记录表(三阶)SecurityTeam2020/4/7访问控制管理文件结构访问控制管理访问控制管理办法(二阶)访问控制管理实施细则(三阶)机密资源管理实施细则(三阶)机密资源清单(三阶)机密资源使用审批表(三阶)机密资源销毁审批表(三阶)机密资源交接表(三阶)用户账号权限管理清单(三阶)账号权限开通使用审批表(三阶)用户账号权限审核表(三阶)特权用户使用审批表(三阶)用户账号权限管理记录表(三阶)账号操作审查表(三阶)网络访问管理记录表(三阶)正版授权软件清单(三阶)授权软件安装审批记录(三阶)SecurityTeam2020/4/7环境安全管理文件结构环境安全管理环境安全管理办法(二阶)办公区安全管理实施细则(三阶)机房环境安全管理实施细则(三阶)办公环境安检记录表(三阶)办公环境物品出入审批表(三阶)办公环境施工审批表(三阶)外来人员进出机房审批表(三阶)机房出入登记表(三阶)机房物品出入审批记录表(三阶)机房环境安检记录表(三阶)环境安全分析报告(三阶)机房环境施工审批表(三阶)SecurityTeam2020/4/7系统和网络安全管理文件结构系统和网络安全管理系统和网络安全管理办法(二阶)系统与网络安全管理实施细则(三阶)漏洞管理实施细则(三阶)防病毒管理实施细则(三阶)系统和网络安全分析报告(三阶)网络安全域划分说明(三阶)安全基线配置文档(三阶)系统和网络安全评审记录表(三阶)系统和网络安检记录表(三阶)入侵检测管理实施细则(三阶)安全性测试计划及记录(三阶)漏洞分析报告(三阶)补丁更新测试记录、报告(三阶)测试申请审批记录表(三阶)入侵事件处置记录(三阶)入侵行为分析报告(三阶)病毒查杀记录表(三阶)病毒分析报告(三阶)SecurityTeam2020/4/7数据安全管理文件结构数据安全管理数据安全管理办法(二阶)数据安全管理实施细则(三阶)日志管理实施细则(三阶)数据清理、销毁记录表(三阶)数据脱敏记录表(三阶)数据迁移指导手册(三阶)数据查询使用审批表(三阶)外部查询使用数据保密协议(三阶)数据转储、迁移、测试验证记录表(三阶)数据备份、恢复、测试记录表(三阶)数据安检记录表(三阶)数据安全分析报告(三阶)日志审查记录表(三阶)日志审计分析报告(三阶)SecurityTeam2020/4/7终端安全管理文件结构终端安全管理终端安全管理办法(二阶)终端安全管理实施细则(三阶)终端安检记录表(三阶)终端维修申请审批表(三阶)终端报废申请审批表(三阶)终端接入申请审批表(三阶)终端出入申请审批表(三阶)终端回收记录表(三阶)终端使用处置记录表(三阶)终端安全分析报告(三阶)SecurityTeam2020/4/7开发安全管理文件结构开发安全管理开发安全管理办法(二阶)开发项目安全管理实施细则(三阶)系统开发安全分析报告(三阶)安全性测试计划(三阶)安全性测试报告(三阶)软件开发安全需求说明书(三阶)安全技术需求确认表(三阶)系统开发安全检查记录表(三阶)安全性测试记录表(三阶)安全需求评审记录表(三阶)SecurityTeam2020/4/7外包安全管理文件结构外包安全管理外包安全管理办法(二阶)外包安全管理实施细则(三阶)外包商服务清单(三阶)外包商调查评价表(三阶)年度外包商评分表(三阶)外包商风险评估报告(三阶)外包商分类分级清单(三阶)外包商交接记录表(三阶)外包商