展开

关键词

浅谈信息安全管理体系建设

不同企业对于信息安全管理体系建设需求也不甚相同: 1. 可能是从无到有,从0到1建立信息安全管理体系; 2. 可能企业已有信息安全管理体系,但是实时性无法满足企业日益变化的安全需求,待进一步优化改进; 4. …… 体系建设之初,我相信大家的初衷都是抱着建立建成可落地的信息安全管理体系。 但基于个人在整个体系建设过程中所思所感所想,总结了若干点。 一、来自高层的明确支持,以及相关资源的保障 在一个组织内建设信息安全管理体系必须得到高层管理人员的承诺与支持!为何? 1. 往更直白的说,每个部门都有各自部门的KPI,对于信息安全部门而言,信息安全管理体系建设落地确实是一项重要的KPI考核指标,但是对于业务部门,他们更看重的可能更多地是业务稳定运行,而信息安全管理体系只是辅助业务安全稳定运行的工具 有效的资源保证 另外一个层面,引用一句俗语“巧妇难为无米之炊”,信息安全管理体系建设过程中,可能会涉及到外部咨询机构、测评机构的引入,可能会涉及安全设备的采购……钱!钱!钱!

64871

我的信息安全体系建设实践

作为一名安全从业人员,在你的职业生涯过程中都会接触到不同方面的信息安全体系的建设,同时经过自我不断的学习与总结,会对信息安全体系有着自已的理解; 下图为笔者理解的信息安全体系架构简图: ? 笔者认为,信息安全体系化建设就是安全组织在特定范围内,将涉及安全管理与安全技术的措施、功能、系统等相互关联在一起,为了实现特定的安全建设目标,从而形成一个整体的过程。 为了实现建设目标,需要两种手段,也就是说信息安全体系建设应该包括安全技术与安全管理两种手段,就像我们常说的“三分靠技术,七分靠管理”;其中安全技术手段是安全管理手段的基础,安全管理手段是安全技术手段发挥作用的关键 信息安全体系大多可分为信息安全管理体系信息安全技术体系,以及信息安全运营体系三个主要体系; 接下来,笔者将对这三个体系简单介绍一下: 信息安全管理体系指组织在整体或特定范围内建立的信息安全方针和目标 ,以及完成这些目标所用的方法和系统,同时确认了安全组织架构及角色责任,并最终形成文件化管理体系的过程; 主要包括的内容应该有以下几个方面: 一、制定安全总体方针,确认安全建设目标; 通过评估总体安全风险

2.2K12
  • 广告
    关闭

    90+款云产品免费体验

    提供包括云服务器,云数据库在内的90+款云计算产品。打造一站式的云产品试用服务,助力开发者和企业零门槛上云。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    企业安全建设中的信息收集

    信息收集话题太大,今晚先写一些常见的,后期有空会更新、完善这个流程。 需求背景 在信息安全这个领域里,不管在甲方还是乙方工作,信息收集都是很重要的一环,信息收集的好坏,也将影响到后期的环节。 企业安全建设中的信息收集 下面主要以互联网企业和业务举例,各个企业之间会 有差异; 这里我们主要讨论企业安全建设信息收集,讲述一些信息收集的种类和方法。 甲方和乙方信息收集的差别在于,甲方相对乙方会相对简单与全面一些,但是信息收集的方法和需要收集什么,这个得安全人员得清楚,不是说你在甲方,人家企业的运维人员就会什么都推送给你看,至少你得和别人说清楚你要什么 域名 URL 业务线 APP 已购的安全设备信息 DLP IPS 堡垒机 漏扫系统 蜜罐系统 流量异常报警系统 日志审计系统 WAF系统 收集方式 上面描述了一些在企业安全建设中需要收集的信息 收集后如何存放 收集到上面说的信息之后,一般会存在在SOC(安全运营中心)里面,如果企业没有SOC可以根据自己的情况自研或者购买该系统,SOC是统一收集、存储、处理安全相关信息,并且主要是用来监测各种级别安全告警的平台

    39100

    论大数据时代下组织内的隐私信息保护管理体系建设

    在这种背景下,个人隐私信息的保护就显 得至关重要,这就要求涉及个人隐私信息采集处理的组织加强 组织内的隐私信息保护管理体系建设。 关键词 隐私信息保护;体系建设;大数据 一、组织实施隐私信息保护管理体系的意义 组织实施隐私信息保护管理体系具有重大的意义。 对于组织内部而言,隐私保护管理体系建设能够帮助企 业树立全员安全责任意识,落实合规流程技术。最后,隐私保 护管理体系建设降低了企业与关联方的数据之间的流动风 险,更有利于构建合作责任模型。 由此可见,在组织内建立隐 私信息保护管理体系是必要的。 二、组织隐私信息保护建设总体思路 如何在组织内开展隐私信息保护管理体系建设呢? 第三要管好人员:这涉及到 组织安全文化建设安全红线制定,以及安全意识教育;要营 造可信,不做恶的企业文化,建立违规惩处底线机制,做到违 规必究;加强全员信息安全意识,安全合规意识教育。

    36310

    我所认知的甲方信息安全建设经验

    毕业至今,从最初在乙方安全厂商做安全服务,辗转到互联网公司做安全研发,现今在金融国企做安全建设工作。几年信息安全职业生涯,我经历了从乙方到甲方的角色转换,经历了从互联网到国企的转变。 本篇我将记录总结一些甲方信息安全建设方面的经验,仅代表此时此刻我对于信息安全建设的一些认知(   毕业至今,从最初在乙方安全厂商做安全服务,辗转到互联网公司做安全研发,现今在金融国企做安全建设工作。 本篇我将记录总结一些甲方信息安全建设方面的经验,仅代表此时此刻我对于信息安全建设的一些认知(说明:甲方信息安全建设涉及内容太宽泛,本篇大致列举一些信息安全建设方面的措施,具体细节之后会单独记录成文) 网络系统安全建设 以下文章篇幅,我将根据不同安全域通过事前、事中、事后三个方面记录信息安全建设思路。 蓝军团队是脱离安全区域之外的,但属于事前。 业务安全安全        总结说明:本篇内容用于记录我认知中,甲方信息安全建设可以涉及的一些措施或者说抓手。

    24220

    浅谈甲方企业信息安全建设的方法论

    这时候,对于安全团队来说,就非常需要注意安全工作的方式方法了,以便将企业的信息安全建设逐步走向正轨。本文就是我对企业信息安全建设的方法论的一些思考。 ? 因此,对于企业安全建设来说,最重要的工作是做调查研究,了解企业IT建设安全管理现状,识别影响组织和企业最大的风险,然后再根据风险找出安全管理的牛鼻子方法,抓住安全风险的主要矛盾,这也是ROI平衡的一个具体方面 作为一个甲方安全人员,我们也应该明白,在业务高速发展和信息化程度越来越高的大背景下,甲方的安全人员在数量上、专业技能上还是与甲方的安全建设需求有一定的差距。 那么这时候,乙方团队就是甲方信息安全建设力量的重要补充。很多方案设计、风险分析、技术实施都需要乙方人员的深度参与,毕竟他们在细分领域以及专业场景上,比我们甲方人员要见得多、识得广。 对于甲方来说,信息安全建设工作既是一个技术问题,但已经超越了技术问题,这里面牵涉了很多制衡、沟通、协调、妥协等方方面面的问题。

    48220

    商业银行数据资产管理体系建设实践报告

    基于研究及落地成果,浦发银行提炼数据资产管理核心理念和方法,联合IBM、中国信息通信研究院共同编写完成《商业银行数据资产管理体系建设实践报告》,报告阐明了数据资产的概念、数据资产管理体系的内涵与外延、体系框架 浦发银行将按照全景银行的规划蓝图,依托数据资产管理体系,推动以数据资产为核心的业务经营模式加速形成,提升客户服务能效,实现银行的经营模式从经验依赖向数据驱动转变,从报表统计向数据赋能转变,从数据孤岛向数据融通 、价值共创转变,为国家数字经济高质量发展注入新动力,推动全景银行建设迈上新台阶。

    12511

    民航专家齐聚云端,共话民航业信息安全建设

    作为民航产业智能化、数字化的前提和保障,安全基础建设的重要性日益凸显。 4月17日,一场由中国民航报社、中国民用航空局第二研究所、腾讯联合举办的“民航信息安全专题会议”在线上展开,11位民航网络信息安全建设领域的负责人和专家与线上众多参会者一起,聚焦“保障民航网络信息安全” 正文1.jpg 中国民用航空局第二研究所副所长王维忠致辞表示,在推进科技创新和信息建设过程中,民航二所始终认真落实网络安全责任,提升信息化产品的安全防护能力,未来还将持续加大网络安全能力的投入力度, 会上,来自腾讯安全的三位专家分别就民航新电商业务的风控和安全、疫情带来的民航远程办公安全、AI应用安全等内容发表主题演讲,分享了腾讯的安全解决方案和前沿技术在民航信息化场景建设中的应用与实践。 1.jpg 陈炳文博士表示,腾讯安全天御全栈式营销风控决策引擎按照“事前风险感知”“事中实时决策”“事后追溯调查”三重架构建设,能够为航司电商业务提供全栈、闭环、实时的风控服务。

    384106

    观点 | 浅谈信息安全建设与ISO27001体系的结合

    的复审,按照评审老师的评价:“贵公司没有什么大问题,该有的材料都有,信息安全体系建设的不错”,应该是离拿证不远了。 但是作为信息安全建设管理者,回想起前段时间为了应付检查,大量撰写的“公司信息安全体系落地文件”,不经出了一身冷汗,公司的信息安全真是处于“原始社会”; ? 网站被DDOS等等),还是管理层面上的(内部员工泄密,间谍盗走财务数据等等);而谁也不知道我们首先应该做些什么;经过近一年的努力和探索,在这里我分享一下自己在建设公司安全管理体系和落实ISO27001之间采取的平衡策略和妥协 ,精简,等过了这个阶段,日志分析纳入了日常工作范畴,评审才能够提上议程; 四、划分部门指导工作与培训 公司整体性提升信息安全意识要靠定期的培训与宣传,但是针对管理体系的培训更应该因人而异。 初到公司我也进行过培训,让大家了解到信息安全建设的重要性,ISO27001体系对公司会有哪些好处。

    45120

    用户信息泄露事件频现,数据安全建设该如何升级?

    随着数字经济的快速崛起,万物互联、“上云”等的不断推进,数据已经成为最有价值的资产之一,国内的数据安全建设亟待升级。 用户信息被泄露事件频发,让不少用户开始担忧数据安全。 具体而言,“十四五”规划中,将“加快数字化发展建设数字中国”作为独立篇章,明确要求坚定维护国家政权安全、制度安全、意识形态安全,全面加强网络安全保障体系和能力建设,切实维护新型领域安全,严密防范和严厉打击敌对势力渗透 当前,数字经济的高速发展之下,各行各业都在探索如何做好数据安全建设。每年,各大公司都会在网络安全中投入大量资金。 但业内人士分析认为,由于数据类型的复杂性和应用场景的多样性,目前为止,还没有行业通用的数据安全标准和模型,数据安全建设还处于初级阶段。

    10230

    【企业安全】企业安全建设需求

    ## 前言 ## 近来“企业安全”这个话题比较火热,一个人的安全部、甲方安全建设相关文章倍受大家欢迎。 网上已经有不少甲方安全建设相关文章,其中不乏身经百战之后的填坑解读,也有不少成功的安全项目分享,但大多都是非常体系化的结构。 之前在国内某老牌安全乙方公司,并没有体系化的做过企业安全建设相关项目;今年刚实现从乙方到甲方的角色转变,甲方安全建设之路也刚开始不久,没有经过系统化、工程化的安全资质培训;仅凭借自身的项目经历(渗透测试 因为没有统一详细落地的行业安全标杆,所以很难甄别是否具备足够的安全防御水平。基本需求是“有,总比没有好”,更高的渴望是“充分利用合规检查”落实企业安全建设。 ## 未完待续 ## 企业安全建设系统文章刚开始,希望大家留言交流,共同探讨!

    57860

    三体云智能获ISO27001信息安全管理体系认证&ISO9001企业质量管理体系认证|腾讯SaaS加速器·学员动态

    来源 |  腾讯SaaS加速器首期项目-三体云动 ---- 日前,三体云智能科技有限公司顺利通过ISO27001信息安全管理体系认证和ISO9001企业质量管理体系认证。 作为健身产业互联网的独角兽,以及健身行业第三方云服务供应商的代表,三体云智能科技有限公司凭借行业领先的信息安全管理体系以及超强的技术实力,顺利通过ISO27001国际信息安全管理体系认证,这标志着三体云智能在信息安全管理水平方面正式接轨国际标准 ISO27001是目前国际上最权威也是被广泛接受的信息安全标准,代表了信息安全管理的国际水准,旨在能够帮助企业在安全策略、安全制度、安全操作和管理流程等方面,形成统一的信息安全管理体系,并有效提高企业的信息处理水平和管理水准 三体云智能此次获得ISO27001信息安全认证,一方面意味着客户的信息安全将得到更充分保障;另一方面也表明三体云智能的信息管理水平日渐提高,为客户提供更好的信息安全保障,能够能有效控制和减少面临的各类信息安全风险 三体云智能科技有限公司凭借ISO27001和ISO9001双重认证,为体育健身产业提供了涵盖信息安全、经营业绩、运营效率、消费体验等全方位的保障。

    25241

    以“威胁应对”为中心,看企业信息安全能力建设

    (二) 从关注“平台”搭建到关注分析建模的“内容”建设 航母是一个平台,自己不产生进攻能力,让航母上的舰载机具备强大进攻能力。对信息安全行业依然如此。 ,“建平台+补内容”是国内目前安全建设的基本路子。在网络完成初期的平台建设(数据的采集、集中存储)后一定会走向精耕细做的数据分析上来。 笔者将以威胁为中心的信息安全能力建设问题总结为以下四句话,并进行详细阐述。 1. 全面感知是基础 2. 异常行为是线索 3. 分析能力是关键 4. 对于这类威胁或者信息泄漏,我们必须在外部看外部,利用网络技术在各知名安全情报平台收集最新的威胁信息才能实现,一些知名网站补天、Whois、安全人员的社交圈如Twitter、微博、技术博客、以及开源的情报站点 通过发现异常行为,再逐步深入采用更高成本的流量分析、沙箱执行、人工介入等,是更可行的一种安全防御思路。 信息安全建设思路出发点是“止损”,能快速发现异常并及时处置确保最小化的损失。

    55080

    从0到1:蘑菇街运维技术管理体系建设分享(上)

    今天给大家分享的题目是从0到1,蘑菇街运维技术管理体系建设分享。正式开始分享之前,首先作一个简单的自我介绍和公司介绍。我叫赵成,花名谦益。2008—2015在华为技术有限公司,高级软件工程师。 同时,也是运维团从小到大的发展起来,运维体系架构也从无到有建设起来的的一个过程。这样的经历对于我和我的团队都是非常宝贵的,今天也是想把这样一个过程在这里分享给大家。 基础服务的标准化,安全的标准化,稳定性的标准化,我们全部都制定清楚形成文档。 最后,这两个关键的基础设施建设完成之后,就有了如下的架构图: ?

    1K30

    企业安全建设进阶实战

    本文将介绍宜信安全建设不同阶段的思路和成果,每个阶段遇到的挑战、踩过的坑,以及收获的心得和体会,分享宜信内部安全产品的发展,探索企业安全建设路径。 一、背景 ? 2013年,公司正式开始进行安全建设,投入资源成立专门的安全团队、搭建基础安全设施。宜信公司的安全建设自开始至今大致可分为三个阶段: 2013年-2016年处于V1阶段。 上图是之前总结的行业里信息安全所处的状态和发展情况,以及截止2016年我们在安全上完成的一些项目。 上图是我们整理的关于用户资产的信息。 六、自研的WAF产品 ? 《数据安全法》已经进入立法阶段,不论从安全建设、合规、还是企业的战略发展,很多走在行业前列的企业已经在向以“数据为中心的安全策略”转变。

    47120

    企业安全建设之HIDS

    ,如:后门,反弹shell,恶意操作,主机组件安全漏洞,系统用户管理安全问题,主机基线安全风险等。 0x04 开源HIDS 安全部门不是盈利部门,“一个人的信息安全部”之中型公司常用开源项目二次开发,知名的HIDS项目如OSSEC、Osquery。 rpm包检测(diff对比以及rpm签名) 环境变量检测日志信息: bash_history(snoopy)命令记录 audit日志 auth认证日志 secure安全日志 服务日志 0x06:总结 HIDS建设未完待续,欢迎指教, 从一个攻防的角度的初级建设,还是得开发大大来实现。 参考文献 保障IDC安全:分布式HIDS集群架构设计 企业安全建设—基于Agent的HIDS系统设计的一点思路 点融开源AgentSmith HIDS—- 一套轻量级的HIDS系统 *本文作者:罹♛殇,

    1.5K40

    扫码关注腾讯云开发者

    领取腾讯云代金券