本人多年實踐的幹貨分享,編寫不易。看完覺得有收獲請給個贊。
概述
原則:缺省全部關閉,按需求開通。
根據公司業務需求,產生信息安全需求,進而建立信息安全體系。
本信息安全體系以ISO27002為標準,結合公司實際情況,通過管理體系、運維體系、技術體系來實現。下圖為本文大綱:第一部分為理論依據。第二部分為具體實踐。
註意:安全和便利性是矛盾的,請根據公司實際情況,結合IT預算綜合考慮並裁剪具體的執行措施。
1,信息安全體系、目標
1.1,公司業務需求
a,法律法規與合同條款的要求。
b,公司組織原則和規定,上級領導要求。
c,信息安全風險評估結果。
1.2,信息安全需求
從公司業務上收集,進行簡單歸納如下:
a,平臺安全:網站服務器、郵件服務器、數據庫服務器(OA、金蝶、人事等)。實現7*24小時高可用。
b,網絡安全:防備來自外網的攻擊,來自內網的非法上傳下載等。
c,用戶安全:公司員工各種賬號的認證。
d,數據安全:數據的災備,傳輸安全,防數據泄密等。
e,管理安全:主要針對研發中心,技術資料和源代碼需要特別的管理措施。
f,自我清理:敏感數據,運維和開發人員都無法獲取。保證IT部門的自我清理能力。
g,… …
1.3,信息安全體系
主要參考ISO27002信息安全體系(這也是華為等公司對合作廠商評估的重要因素),包含如下14個主題。按業界最佳實踐來對信息安全的評估、實施、維護和管理。
(1)信息安全策略:
即信息安全管理體系,包括本文件、《信息安全管理制度》、《網絡設備管理規定》、《防火墻管理規定》、《備份數據的恢復演練計劃》、《數據備份規定》、《軟件管理規定》等受控文件。
(2)信息安全組織:
信息中心/IT部門
(3-12):
在第二章-【信息安全應實踐】中介紹具體的實施措施。
(13-14):
已融合在第二章-【信息安全應實踐】中。
業務連續性管理:響應、業務和連續性的恢復計劃,其總體目標是為瞭提高企業的風險防范能力。
符合性:對法律法規的符合、對安全策略和標準的符合、通過審計措施來驗證符合情況。
1.4,信息安全的管理體系、運維體系、技術體系
信息安全體系是人員、流程、技術的結合。從管理、運維、技術三方面來實現信息安全體系。
管理體系:
A策略和規章的制定:《信息安全管理制度》、《筆記本電腦外帶管理制度》、《防火墻管理規定》、《網絡設備管理規定》等受控文件。
B規章制度的遵守:按時進行安全理論考試,日常行為的遵守等
C 安全審計相關的活動:定期審查防水墻、郵件內容、上網行為、防水墻日志等。設置重點監控目標,如將離職人員。
運維體系:
安全運維是在安全策略的指導下,IT部通過技術來達到安全保護的目的。安全運維與IT運維互相依托,相輔相成。運維包括服務器虛擬化集群、主幹網絡雙線備份,外網雙線接入,應急恢復系統等。制定《IT部數據備份規定》、《備份數據的恢復演練計劃》並自我遵守。
技術體系:
理解安全架構的基礎上,提供易於操作和管理的平臺。針對企業信息安全控制點,提供軟硬件解決方案。如防火墻、防水墻、上網行為管理、數據加密等。
2,信息安全應用實踐
根據信息安全體系的需求,制定以下執行措施。將ISO27002標準和管理、運維、技術有機結合在一起。
2.1,信息安全培訓和宣傳
針對ISO27002 -(1)信息安全策略,學習信息安全相關制度文件。通過培訓及宣傳,使得信息安全意識融入到工作中,變成一種常態化的工作。再配以檢測、獎罰等機制,讓信息安全意識變得如同呼吸一般必要和自然。培訓對象:普通員工、系統管理員、供應商。
| 事項列表 | 備註 |
|---|---|
| 信息安全制度培訓 | 所有員工,學習信息安全的文件管理規定。 |
| 員工的安全責任 | 所有員工。 |
| 內部系統的安全標準培訓 | 內部各種系統的網絡所有者和管理員。 |
| 供應商的安全培訓 | 對供應商的管理制度,發給相關部門和供應商學習。 |
2.2,信息安全風險及具體措施
2.2.1,ISO27002 – (3)資產管理
服務器:
管理上集中部署在機房,由信息中心保管機房鑰匙。技術上一主一備雙電源供電,防雷、防水。機房符合行業標準,服務器采用行業領先的虛擬化集群方案。
網絡設備:
執行《網絡設備管理規定》。
辦公電腦:
臺式機禁止外帶,筆記本執行《筆記本電腦管理規定》。電腦使用防盜螺絲並貼封條。
2.2.2,ISO27002 – (4-10)軟硬件和網絡環境
根據訪問權限、軟件操作、硬件環境各方面綜合考量,在安全性和便利性取得平衡。
內容較多,原文請查看Excel《ISO27002 – (4-10)軟硬件和網絡環境的安全措施》
下面列表中,管理控制項可以直接照搬,但管理措施僅供參考
2.2.3,ISO27002 – (11)供應商關系管理:
1,供應商來本公司的管理
主要由安保部管控。對供應商實行預約訪客、相機管控、物品進出等。
2,對供應商本部的管理(酌情考慮)
主要由公司高層和對接部門管控。可借鑒的有蘋果對供應商的管理,任何人進出蘋果產線區域必須進行掃描,有專業保安進行。供應商必須安裝視頻監控系統,能夠監控到所有物品和物料移動的完整路線。供應商必須嚴格保守蘋果產品的秘密,包括性能、圖片、參數、需求量、價格和未來技術走向等信息。
3,對供應商承接本公司項目的管理
主要由對接部門管控。供應商必須嚴格保守項目中本公司的機密,包括技術參數、價格、設計圖、敏感數據等。例如軟件系統實施完成後,修改數據庫密碼,刪除實施人員賬號。
2.3,ISO27002 – (12)信息安全事件管理(待實施)
依據《中華人民共和國網絡安全法》 、《GBT 24363-2009 信息安全應急響應計劃規范》、《GBT 20984-2007信息安全風險評估規范》等法律和文件,對信息安全事件進行管理。
信息安全事件分類:
根據信息安全事件發生的原因、表現形式等,將信息安全事件分為網絡攻擊事件、有害程序事件、信息泄密事件和信息內容安全事件四大類。
信息安全事件分級:
從信息密級、聲譽影響、聲譽影響、資產損失幾個因素來分級。特別重大事件(Ⅰ級)、重大事件(Ⅱ級)、較大事件(Ⅲ級)、一般事件(Ⅳ級)。
信息安全事件處理:
制定相關規定和預案,發生信息安全事件後,立即進行應急處理。
事後根據造成的危害級別采取相應的措施和處罰。
流程:發現者上報->信息中心評估->責任認定和處理->事後檢討和改進
信息安全事件匯報:
對發生的信息安全事件,進行分類分級,出通告處理。定期整理匯報給上級領導。
篇幅所限,詳細內容見受控文件《信息安全事件管理規定》。