freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

企业安全实践 | 从零开始学做整体安全规划
2023-12-04 10:01:38

前言

在甲方工作已经有些年头了,越来越发现甲方与乙方的工作方式存在巨大的区别。在乙方时说的最多的就是技术层面的各种问题,倾向于用技术可以解决问题,然而真正的进入到甲方才发现,技术只是其中很少的一部分,甲方面对的是一个很复杂的环境,很多时候技术并不是解决问题的最好方案,因此需要从其它的方面去解决问题。

结合目前的工作现状,简要总结一下在甲方如何整体的去做安全,做一份有体系的安全规划。领导的要求往往是不发生安全问题,但是做安全的我们知道绝对的安全是不可能实现的,我们能做的就是以最小的投入将安全控制在一个可控的范围内,而不是去追求绝对的安全。

企业为什么突然要做信息安全?

发展中的企业突然要开始安全建设,一般是受下面的三种原因驱动的?

1)合规驱动

自2017年6月1日《网络安全法》出台之后,对于网络安全有了明确的规定。在企业发展到一定的规模以后,就必须要考虑合规的问题。

2)事件驱动

公司发展过程中遇到了实际的安全问题,如遭受DDOS攻击,公司数据被窃取。因此企业需要安全人员来解决这些问题。

3)自我驱动

公司领导对安全有足够的了解,认为安全也是产品的竞争力,在企业发展到一定的规模以后,自愿投入一定的资源去做安全。

建设为什么需要规划

在企业的信息安全建设方面,真正进行安全规划的企业并不多,大多数仍属于“事件驱动”和“项目驱动”型建设。发生信息安全事件后才进行信息安全的资源投入建设,在建设时又由于项目目标需求明确和事件急迫,仓促上马,而忽略对体系化的针对性考虑和设计。抑或是无战略目标规划,依靠接受外部市场引导,盲目进行项目化建设,单单以信息安全产品、服务进行堆砌,见火扑火,一叶障目缺少全局观。最终导致信息安全无法对业务、风险合规等提供有效支撑,在企业中仅仅成为救火部门,难以体现其价值,而信息安全建设各自独立分散,无法形成体系化。

要建立体系化的安全,就需要对整体的安全进行规划,有目标有计划的去实施安全建设。

规划的一些准则

1)安全是为业务发展服务的,不能喧宾夺主,安全建设的方案设计需要考虑业务生产的实际需要。安全与业务发展需要找到平衡。

2)规则要与公司的实际情况相结合,不能盲目的追风业内的最佳实践,这种实践并不一定适合目前的企业。

3)不要去追求绝对的安全,要在有限的资源下将风险控制在可接受的范围内,也就是我们常说的追求ROI

4)安全要自上而下的推动,同时,与业务部分应该是合作的模式。

5)企业安全中不能仅仅依靠技术,要技术,管理齐头并进

6)对关键业务和对业务影响最大的风险能做到覆盖

7)措施实施容易落地,避免假大空和只有在安全基础非常扎实的情况下才能实现的设计

规划的思路

信息安全是由多方面组成,主要工作需要防范威胁发生的可能,以及采取风险降低措施,因此安全工作开展涉及多方面的内容:

1701421246_6569a0be997ca542a09d3.png!small?1701421247340

技术,合规,管理三者要相互协作,不能仅仅依靠某一方面。

本文作者:, 转载请注明来自FreeBuf.COM

# 企业安全
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录