观点 | 浅谈信息安全建设与ISO27001体系的结合

公司安全部门成立的较晚(目前就我一个人负责),高层领导也对信息安全没有什么认识,甚至连安全策略和针对性的法律法规文件都没有,但是运营侧小伙伴却兴致勃勃的搞起了ISO27001体系认证,那么作为大家经常说的“一个人的安全部门”,只能一边苦笑,一边配合。

前期体系的建设工作分为三步:

1、 填写各种各样的材料,没完没了的编和想象; 2、 糊弄评审老师,告诉他们我们公司目前信息安全体系很棒; 3、 请老师吃饭;

通过近半年的奋战,公司终于完成了ISO27001的复审,按照评审老师的评价:“贵公司没有什么大问题,该有的材料都有,信息安全体系建设的不错”,应该是离拿证不远了。但是作为信息安全建设管理者,回想起前段时间为了应付检查,大量撰写的“公司信息安全体系落地文件”,不经出了一身冷汗,公司的信息安全真是处于“原始社会”;

很多时候,我们在应付ISO270001评审的同时,又在对未知的信息安全问题抱有幻想,猜测与恐慌:你无法预料到那天出现安全危机,无论是技术层面上的(病毒大面积感染,公司QQ被集体脱库,绝密聊天记录被曝光,网站被DDOS等等),还是管理层面上的(内部员工泄密,间谍盗走财务数据等等);而谁也不知道我们首先应该做些什么;经过近一年的努力和探索,在这里我分享一下自己在建设公司安全管理体系和落实ISO27001之间采取的平衡策略和妥协,还请大家多多指教;

一、自己清楚体系的核心

换句话来说,你得明确贯彻落实最关键的二八原则,公司的体系建设类似于为一个人定制一套衣服,首先肯定是解决裸奔的问题,而不是舒适度或者是美观;你得清楚哪些对我们公司运营是当务之急的,哪些又是暂时没必要,没有预算,或者实施不了,甚至是实施了以后影响工作效率的;例如说信息安全工作评审,手册文件上说每一个月都要进行一次评审会议,高层必须参加,但是领导层如果不是专职信息安全的人员,而且又不懂各种各样的体系,那么与其开这种一个人说话的会议不如改成每一个月的工作汇报,通过群发邮件的方式,让大家了解进展即可;又比如面对什么信息安全制度体系都没有的技术部门,你一下子甩几个三类文件规程,和几十个日志文件给他们,让他们实现什么日志评审,第三方工作日志评审,并定期让他们跟你进行工作汇报,那么我想别人肯定也只能靠编撰了。工作如果仅仅是这样做,那“建设”就成了空话,没有意识和规定,单单靠要求是不现实的事情。

二、领导层知道你在做什么

要进行体系的建立,首先就是指定责任人与领导小组,这些领导小组无非是一些公司的高层,很多做信息安全体系建设的同事对此嗤之以鼻,觉得他们都不懂安全,不应该由他们来组织实施体系的建设工作;

但是,不懂安全的领导来担任信息安全指挥家,不是更能够让你“为所欲为”了吗;你也不能一个人埋头苦干而忽视了领导层,毕竟领导们处在的位置决定了他们比你更好调动资源。

三、根据公司的运营现状阶段实施

对一个操作进行评审的前提,是必须要有这个操作,这是毋庸置疑的。进行体系建设也一样,如果说我们刚刚进行了防火墙日志的统计和收集,大家还不了解日志的内容,甚至说里面充斥着大量的冗余无关日志,那么进行日志的评审就显得没有必要了,这时候的当务之急应该是将日志进一步进行分析,精简,等过了这个阶段,日志分析纳入了日常工作范畴,评审才能够提上议程;

四、划分部门指导工作与培训

公司整体性提升信息安全意识要靠定期的培训与宣传,但是针对管理体系的培训更应该因人而异。初到公司我也进行过培训,让大家了解到信息安全建设的重要性,ISO27001体系对公司会有哪些好处。但是效果并不明显,第一是因为大家才初步了解信息安全的概念,这个时候提信息安全体系还为时过早;第二是因为每一个部门对信息安全体系的侧重点并不一样,研发部门可能会关心他们辛辛苦苦写出的代码,而财务部门却关心的是公司的防泄密体系;这个时候,周期性的,针对部门进行培训,并在其中穿插进体系的内容,大家就好理解。由浅到深尤为重要,比如这个月我针对财务系统给大家讲解了脆弱性和威胁,那么大家对风险评估就会有一定的理解,接下来开展相应的资产识别工作就容易了很多。

五、和监管部门进行配合

信息安全工作请务必让公司的“内控监察”部门配合,实现有法可依和制度的执行;特别是当初到公司,信息安全管理制度一片空白的情况下,不能每一件事都是“善意的提醒”,例如,我们可以在“内控监察”的配合下,对员工的日常行为进行了规范,(如清屏策略,密码复杂度要求,内外网分离要求等),纳入每一个月的绩效考核中,让每一个人心中都有一个最基础的信息安全意识。

初次发文,学识浅陋,如果错误或疑问,敬请海涵,欢迎评论探讨,批评指正!

*本文作者:gakusen,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-05-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏腾讯研究院的专栏

腾讯朱劲松:移动互联网时代的网络犯罪

11月22日-23日,由腾讯互联网与社会研究院、腾讯互联网犯罪研究中心,与中国人民公安大学合作举办的“第二届互联网法律政策前沿研习班”在北京举行。腾讯互联网...

43150
来自专栏罗超频道

宽带之痛:买房租房先看宽带服务商

罗超为雷锋网撰稿,2013年7月3日发表于首页。 近日通过中介找了一套漂亮的房子,广州话叫做“笋盘”。坐拥180度白云山景,南北对流,小区环境优雅。搬进去后发现...

31650
来自专栏小程序

电商小程序解决方案?这里有100个月营业额过万的案例

这两个问题是当下小程序服务商所面对的重大问题。依据数据剖析工具显示的100个月营业额过万的“商城”类小程序,我总结了一些经营者的思路和技巧;今日,就在这儿给我们...

18230
来自专栏云计算D1net

从MSN退出中国,看本土的SAAS服务

“我最不忍看你,背向我转面。要走的一刻,不必诸多眷恋。” 当腾讯还在“QQ在手,天下我有”恣意扩张的进程上,28日,微软Skype官方向MSN用户发送了一份邮件...

29360
来自专栏人工智能快报

NASA开展无人机交通管理测试

美国航天局NASA在2015年11月进行了无人机空中交通管制系统的首次测试。 美国航天局NASA公布了无人机交通管制系统,包括系统的相关概念、运营商合作平台、无...

34560
来自专栏小程序制作

站在风口猪都能飞起来 微信小程序代理这个风口你抓住了吗?

   愿意花时间看我这篇文章的人,大家都应该知道微信小程序,但是,除了微信小程序之后,你知道支付宝小程序?淘宝小程序?谷歌小程序?还有手机厂商推出的快应用吗?

64560
来自专栏华哥哥

虚假销售网站何时休?杀毒软件助力网络安全

近日,有媒体报道称不少网民反馈被山寨网站诱骗,造成个人信息泄露和经济损失。山寨网站乱象早已不是一朝一夕,网民们对于山寨网站也并不陌生。这些假网站不仅花样频出地将...

30690
来自专栏镁客网

神奇!空气竟然能变成饮用水?!

20060
来自专栏企鹅号快讯

给你一根杠杆,撬起万亿的小程序红利市场!

从今年年初开始,小程序毫无预兆的出现在了人们的眼前,很多时候,人们对于新鲜的事物,总是抱着先观望的态度,殊不知,总有一部分敢于先尝第一口的人,往往是最好吃的那一...

21280
来自专栏腾讯防水墙

【独家解读】2018 恶意机器流量报告

Distil Networks 对 2017 年网络数千个域名,上千亿次的访问进行分析,发布了一份《2018 恶意机器流量报告》,防水墙团队对报告进行了翻译和解...

1.4K1030

扫码关注云+社区

领取腾讯云代金券