1、信息安全培训课程安全管理实践SecurityTeam开源改变世界Security Team内容提纲安全管理实践安全管理概述背景介绍安全管理现状分析管理组织架构案例IT安全管理实践面临的问题及挑战安全管理体系回顾体系化安全管理模式安全管理案例场景体系文件建立安全管理架构及人员职责体系化、精细化安全管理2022-11-3Security Team一安全管理概述2022-11-3Security Team背景介绍v 技术措施需要配合正确的使用才能发挥作用v 假如你把钥匙落在锁眼上呢?保险柜就一定安全吗?2022-11-3Security Team背景介绍精心设计的网络防御体系,因违规外连形同虚设防火
2、墙能解决这样的问题吗?2022-11-3Security Team面临的问题及挑战v 最高管理层对信息安全的重视和支持力度不够v 缺乏明确的信息安全方针v 组织架构及职责不清晰v 专职人员数量及经验不足v 安全管理体系不完善v 安全管理措施落实不到位v 重技术轻管理的错误思想v。2022-11-3Security Team体系化安全管理模式2022-11-3Security Team体系整体框架回顾安全管理体系是PDCA动态持续改进的一个循环体2022-11-3Security Team体系文件结构回顾9明确方针、定义架构 岗位人员、职责清晰 管理有方、重在执行记录四阶执行记录和报告-规章-制
3、度-流程二阶流程策略、制度管理细则操作规程计划、表格、报告、模板三阶职能组职能组职能组职能组操作规范1操作规范2操作规范3操作规范4关键岗位4关键岗位3关键岗位2关键岗位1样例 总纲一阶目标、范围、承诺、责任等2022-11-3Security Team某银行管理组织架构(一)2022-11-3Security Team某银行管理组织架构(二)办公室市场营销部营运管理部营业部分行职能部门风险管理部综合管理部财务会计部零售银行部企业金融部保卫部2022-11-3Security Team某银行管理组织架构(三)支行行长主抓全面工作副行长(主抓营销)副行长(主抓核算)副行长(主抓管理、服务)对私客
4、户经理岗对私柜员岗对私柜员岗对私柜员岗个人业务顾问对私柜员岗对公客户经理岗对公柜员岗对公柜员岗行长助理协助行长处理日常工作2022-11-3Security Team二IT安全管理实践2022-11-3Security Team安全管理现状分析支行支行A A支行支行B B支行支行C C支行支行D D支行支行E E支行支行F Fv信息科技管理委员会设信息安全领导小组v信息科技部设信息安全管理小组v安全管理小组设安全管理员v安全保卫部设保安员v分行综管部设专职/兼职安全员v分行保卫部设保安员v支行设兼职安全员v支行设保安员2022-11-3Security Team场景一:虚拟的管理架构我们设立安
5、全管理小组负责全面的安全管理工作安全管理职责明确安全管理架构健全配备足够的人员安全管理体系完善哦,看起来好厉害的样子!那么这个小组具体是哪个部门?管理架构都由哪些部门和岗位组成?2022-11-3Security Team场景二:名为领导实为员工小王,桌管系统安装部署怎么样了?领导,我接电话呢,你问问厂商。小王,已经部署到XXX分行了,你去分行安装下客户端。领导,我忙别的呢,你去吧。小王,XXX分行客户端安装完了,你去控制台看看上线没?领导,还是你去吧,我有个材料要写。领导,我明天请假,还是你写吧。你桌管的合同还没写呢,明天给我。2022-11-3Security Team场景三:名为员工实为
6、领导2022-11-3Security Team场景四:专职人员少2022-11-3Security Team场景五:职责不明确2022-11-3Security Team场景六:体系不完善2022-11-3Security Team场景七:制度不落地2022-11-3Security Team场景八:重技术轻管理2022-11-3Security Team一种体系文件框架体系文件总纲人员安全管理资产安全管理访问控制管理环境安全管理系统和网络安全管理数据安全管理终端安全管理开发安全管理外包安全管理安全事件管理符合性管理持续改进管理2022-11-3Security Team总纲文件结构体系管理
7、总纲文件(一阶)体系管理者代表任命书(三阶)安全质量负责人任命书(三阶)安全人员岗位信息表(三阶)人员角色职责对应表(三阶)安全管理架构及岗位职责文件(二阶)体系适用性声明(三阶)体系术语定义表(三阶)总纲2022-11-3Security Team人员安全管理文件结构人员安全管理员工安全管理办法(二阶)外来人员安全管理办法(二阶)外来人员安全管理实施细则(三阶)员工安全管理实施细则(三阶)人员培训管理实施细则(三阶)人员培训管理流程图(三阶)安全培训记录表(三阶)员工保密协议(三阶)员工背景调查表(三阶)员工离职申请表(三阶)员工离职工作交接及权限回收表(三阶)外来人员驻场申请表(三阶)外来
8、人员保密协议(三阶)外来人员背景调查表(三阶)外来人员离场申请表(三阶)外来人员离场工作交接及权限回收表(三阶)2022-11-3Security Team资产安全管理文件结构资产安全管理资产安全管理办法(二阶)资产安全管理实施细则(三阶)资产处置记录表(三阶)资产登记标识卡(三阶)信息资产台账(三阶)资产申请审批表(三阶)资产交付使用记录表(三阶)资产维修申请审批表(三阶)资产分类分级清单(三阶)外部服务商保密协议(三阶)介质安全管理实施细则(三阶)介质领用归还记录表(三阶)介质抽检记录表(三阶)介质转储记录表(三阶)介质清理销毁记录表(三阶)2022-11-3Security Team访问
9、控制管理文件结构访问控制管理访问控制管理办法(二阶)访问控制管理实施细则(三阶)机密资源管理实施细则(三阶)机密资源清单(三阶)机密资源使用审批表(三阶)机密资源销毁审批表(三阶)机密资源交接表(三阶)用户账号权限管理清单(三阶)账号权限开通使用审批表(三阶)用户账号权限审核表(三阶)特权用户使用审批表(三阶)用户账号权限管理记录表(三阶)账号操作审查表(三阶)网络访问管理记录表(三阶)正版授权软件清单(三阶)授权软件安装审批记录(三阶)2022-11-3Security Team环境安全管理文件结构环境安全管理环境安全管理办法(二阶)办公区安全管理实施细则(三阶)机房环境安全管理实施细则(三
10、阶)办公环境安检记录表(三阶)办公环境物品出入审批表(三阶)办公环境施工审批表(三阶)外来人员进出机房审批表(三阶)机房出入登记表(三阶)机房物品出入审批记录表(三阶)机房环境安检记录表(三阶)环境安全分析报告(三阶)机房环境施工审批表(三阶)2022-11-3Security Team系统和网络安全管理文件结构系统和网络安全管理系统和网络安全管理办法(二阶)系统与网络安全管理实施细则(三阶)漏洞管理实施细则(三阶)防病毒管理实施细则(三阶)系统和网络安全分析报告(三阶)网络安全域划分说明(三阶)安全基线配置文档(三阶)系统和网络安全评审记录表(三阶)系统和网络安检记录表(三阶)入侵检测管理实
11、施细则(三阶)安全性测试计划及记录(三阶)漏洞分析报告(三阶)补丁更新测试记录、报告(三阶)测试申请审批记录表(三阶)入侵事件处置记录(三阶)入侵行为分析报告(三阶)病毒查杀记录表(三阶)病毒分析报告(三阶)2022-11-3Security Team数据安全管理文件结构数据安全管理数据安全管理办法(二阶)数据安全管理实施细则(三阶)日志管理实施细则(三阶)数据清理、销毁记录表(三阶)数据脱敏记录表(三阶)数据迁移指导手册(三阶)数据查询使用审批表(三阶)外部查询使用数据保密协议(三阶)数据转储、迁移、测试验证记录表(三阶)数据备份、恢复、测试记录表(三阶)数据安检记录表(三阶)数据安全分析报
12、告(三阶)日志审查记录表(三阶)日志审计分析报告(三阶)2022-11-3Security Team终端安全管理文件结构终端安全管理终端安全管理办法(二阶)终端安全管理实施细则(三阶)终端安检记录表(三阶)终端维修申请审批表(三阶)终端报废申请审批表(三阶)终端接入申请审批表(三阶)终端出入申请审批表(三阶)终端回收记录表(三阶)终端使用处置记录表(三阶)终端安全分析报告(三阶)2022-11-3Security Team开发安全管理文件结构开发安全管理开发安全管理办法(二阶)开发项目安全管理实施细则(三阶)系统开发安全分析报告(三阶)安全性测试计划(三阶)安全性测试报告(三阶)软件开发安全需
13、求说明书(三阶)安全技术需求确认表(三阶)系统开发安全检查记录表(三阶)安全性测试记录表(三阶)安全需求评审记录表(三阶)2022-11-3Security Team外包安全管理文件结构外包安全管理外包安全管理办法(二阶)外包安全管理实施细则(三阶)外包商服务清单(三阶)外包商调查评价表(三阶)年度外包商评分表(三阶)外包商风险评估报告(三阶)外包商分类分级清单(三阶)外包商交接记录表(三阶)外包商评价标准(三阶)外包商安全审计报告(三阶)外包商保密协议(三阶)外包商安全分析报告(三阶)外包商安全检查记录表(三阶)2022-11-3Security Team安全事件管理文件结构安全事件管理安全
14、事件管理办法(二阶)安全事件管理实施细则(三阶)安全事件分析报告(三阶)安全事件管理流程图(三阶)安全事件记录表(三阶)安全事件分类分级清单(三阶)安全事件处置分析报告(三阶)安全事件检查记录表(三阶)2022-11-3Security Team符合性管理文件结构符合性管理符合性管理办法(二阶)符合性管理实施细则(三阶)符合性分析报告(三阶)法律法规清单(三阶)符合性检查记录(三阶)符合性管理计划(三阶)2022-11-3Security Team持续改进管理文件结构持续改进管理持续改进管理办法(二阶)持续改进管理实施细则(三阶)内审与管审管理办法(二阶)安全检查管理办法(二阶)内审与管审管理
15、实施细则(三阶)安全检查管理实施细则(三阶)持续改进分析报告(三阶)持续改进流程图(三阶)持续改进记录表(三阶)持续改进管理计划(三阶)持续改进跟踪记录表(三阶)内审与管审分析报告(三阶)内审与管审流程图(三阶)内审与管审检查记录表(三阶)内审与管审管理计划(三阶)内审与管审评审会议纪要(三阶)安全检查记录(三阶)安全检查计划/方案(三阶)安全检查报告(三阶)2022-11-3Security Team安全管理架构2022-11-3Security Team管理者代表职责v 总体协调、推动管理体系运行;v 分配管理体系具体人员岗位,为安全管理体系的落地实施和持续改进,协调提供所需资源;v 审批
16、管理体系文件,以确保管理体系的计划、实施、监控、改进机制与管理体系方针、目标、法律法规要求保持一致;v 依据管理体系方针及总体目标,指导制定并审批体系运行绩效评价指标;v 推动安全管理体系的宣贯。2022-11-3Security Team安全执行经理职责v 为管理者代表任命管理体系各岗位人员提供建议;v 组织制定并审核管理体系文件,制定信息安全发展规划,设计安全管理架构;v 推动管理体系各项活动有效执行和改进,并对管理体系运行的总体绩效负责;v 组织制定、考核管理体系的绩效测量指标;v 组织实施安全管理体系落地执行,并向最高管理者及管理者代表报告管理体系总体运行情况。2022-11-3Sec
17、urity Team安全管理员职责v 贯彻、执行信息安全管理体系文件要求;v 制定信息安全管理规范及策略;v 推进、落实信息安全管理工作;v 负责信息安全管理的日常管理、安全检查以及组织协调问题整改工作;v 组织、实施信息安全相关培训工作;v 信息安全事件的组织协调工作;v 其他信息安全管理相关的工作。2022-11-3Security Team信息安全员职责v 具体落实信息安全管理体系文件要求;v 制定信息系统安全的技术性方案;v 推进、落实信息安全技术研发工作;v 负责信息系统安全的日常检查及整改落实工作;v 安全测试、安全技术培训的实施工作;v 信息安全事件的应急处置工作;v 其他信息安
18、全技术相关的工作。2022-11-3Security Team质量监督员职责v 根据符合性要求,定期开展检查工作;v 制定持续改进计划,并定期修订、评审体系文件;v 制定内审与管审计划,定期开展审核工作;v 组织相关人员定期开展信息安全检查工作;v 制定符合性、内审与管审、安全检查等相关报告,并上报安全执行经理;v 其他持续改进相关的工作。2022-11-3Security Team体系化安全管理流程管理办法管理细则指导执行记录检查评估绩效考核做什么?怎么做?落地做没做?做得好不好?做得更好改进2022-11-3Security Team体系化安全管理实例(一)2022-11-3Securit
19、y Team体系化安全管理实例(二)2022-11-3Security Team精细化安全管理的一点想法v 安全管理架构精细化v 成立安全作战实验室安全作战实验室安全技术研发组安全管理组安全测试组安全事件应急组v 岗位职责精细化v 划分安全技术研发、安全管理、安全测试、事件应急方面的岗位,并配备相应的人员v 管理内容精细化v 细化环境、系统、网络、应用、数据、人员、外包等安全管理内容,增加安全方面的应急预案、演练v 安全管理工具辅助v 根据管理体系文件和成熟的安全管理经验,结合公司实际管理情况,自主开发或采购自动化管理工具辅助2022-11-3Security Team思考一下 还有哪些安全管理问题 还有哪些安全管理模式及方法2022-11-3Security Team2022-11-3
