本期看点IT建设之路专业技术篇预计更新100期,码字不易,欢迎关注不迷路。 1. 信息安全原则策略 本章节将重点介绍企业信息安全管理制度、流程及ISO27001相关认证。 信息安全管理制度和流程为了确保全体员工理解并遵照执行,企业需要制定和签发信息安全管理体系文件,并依据信息安全制度的要求,建设对应的信息安全技术方案,但在每个安全技术管控范围内,都会有例外的需求,这样就需要配套的信息安全流程来满足这些例外的需求。 管理制度1)信息安全方针:为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系,确定信息安全方针和目标,对信息安全风险进行有效管理,需制定配套的《信息安全管理手册》。 3)人员管理:为了明确公司全体员工及在公司工作的第三方人员的行为,制定《人员信息安全管理规定》,确保全体员工和第三方用户了解信息安全威胁和利害关系、员工的职责和义务。 5)物理和环境安全:物理和环境安全的风险主要来源于自然环境灾害,人员访问控制失效,机房基础设施缺失导致的火灾、漏水、雷击和静电对设备电路的破坏,温湿度失调、设备失窃等安全事件,会影响网络、主机和业务的连续性,甚至导致业务数据丢失等。制定《物理区域信息安全管理规定》,要求访问、接待、操作、记录等流程规范,从而保障信息系统的业务连续性。 7)设备安全:通过多种策略来保证公司设备规范,严格要求员工遵守操作规范和使用规则,保护信息在传输、交换和存储、备份等过程中的数据安全,为加强公司设备信息安全管理,防范信息安全事故,制定《终端信息安全管理规定》。 9)信息安全事件管理:为保障公司信息安全应急响应机制,规范信息安全突发事件的应急响应工作,保障公司信息安全,为加强公司信息安全事件的调查处理,规范信息安全事件处理流程、申诉流程和信息安全奖惩要求,最大限度地减少信息安全事件造成的损失,制定《信息安全事件管理规定》。 因为信息安全制度要求及技术策略管控,不少用户有新的权限或资源需求,故需要设定信息安全相关流程,包括权限申请流程,由用户根据需要提交申请。 2)资产管理:根据公司资产管控需求,而公司的管控重点大多是信息资产,可能需要有资产定级、变更流程,以及资产的申请访问流程等,建议制定信息资产管理流程。 4)网络安全:《网络信息安全管理制度》会约定网络上的设置,一般为员工终端上网、服务器上网、网络端口打通、系统对外发布等,建议制定网络资源变更流程。 6)应用系统安全:企业的IT系统或服务管理了这个公司的数据及用户权限,所以应用系统的数据和权限管理至关重要,一般情况下,对于企业的核心数据都需要加密存储,业务数据采用最小授权原则,故依据《应用系统信息安全管理制度》,需要制定应用系统权限变更流程。 因为企业的业务性质及安全管理的范围不同,上述流程或许不能完全覆盖公司的安全需求,各企业可根据业务场景制定对应的信息安全流程,并根据安全需求及风险情况,设置对应的审批层级。 ISO27001体系发展历程目前,大部分科技企业,或者一些科技公司的供应商,都对信息安全有比较高的要求。尤其海外的高科技公司(如谷歌、苹果、亚马逊等)对中国供应商的信息安全要求更高,不但要提供信息安全相关认证,还要提供对应的技术手段和相关材料方可通过他们的认证。 信息安全PDCA对于信息安全更是如此,信息安全制度和防护技术,都会随着公司的业务、环境或者技术层面,甚至一些政策方面(如GDPR)调整优化。根据ISO27001体系标准,公司需要制定对应的制度和流程,同时配套相应的技术手段以保障制度的落地。故,即便公司在获得ISO27001认证后,仍然要每年复核,正是匹配了PDCA的过程——公司的信息安全不断优化以保障公司稳定可靠发展。 体系认证在企业向认证机构提出申请之后,认证机构需要初步了解组织现状,并确定审核范围,大致包括如下: 2、场所数量; 4、组织类型和业务性质等。 下期将介绍:信息安全篇到此结束,后续还会有“应用架构”、“数据架构”。下期将开始应用架构的开篇,基于业务架构如何搭建应用架构,通过IT系统承载业务落地。 |
|