freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

一个人的信息安全部(1)——灾难恢复体系建设
2023-10-24 13:30:57

前言

先做个简单的自我介绍,本人新疆人,高中不是很努力,好在选择了信息安全专业,16年本科毕业凭借单身数年的好运进入了某信息安全厂商新疆办事处,在厂商期间做了不同企业的风险评估、IS审计、产品解决方案部署等项目,在新疆这个地方感觉已经能看到行业和个人的天花板。

21年决定南下去了一家世界五百强,接触了不一样的企业安全,一年后无法忍受企业疯狂裁员决定自离,无缝衔接去了四大base在上海,做了不到6个月,很难进入四大的工作状态,一冲动2月又辞了就此赋闲在家。

无业的七个月里,有过无所事事犹如死狗瘫痪在家,也有过慌不择路疯狂投简历,期间也拿到一些offer,7月认识了一位极为负责的猎头顾问,在她的沟通和帮助下明确了自己想要什么、职业规划等等,拒绝了很多有的没的offer,最后找到了最合适的offer,一家德国外企负责整体信息安全。

初入企业

作为一名安全人员进入一家新企业,很容易将过往的实践经历和行业最佳实践经验带入新的岗位中,虽然这种做法很容易发现差距,但很多时候不适合当前企业状况。

这种情况我们需要逐步开展工作,而不是根据经验急于求成。

第一步:与IT总监沟通了解当前企业最急迫的安全需求及正在进行的项目;

第二步:与Infra沟通了解网络架构及当前安全策略(这家企业第一次设置安全岗位,过往均为Infra兼任);

第三步:与应用Owner沟通,了解当前业务状态(如果正好碰到内审之类的一定要参与进去,能够更快了解安全状况);

第四步:根据实际项目与一线业务人员、合规部门、法务部门沟通(了解业务流程、业务需求、合规/法务需求)。

安全项目

根据前三步的沟通很快能够知道自己需要做什么,先顺着做,顺利开展工作后再考虑体系化安全。

灾难恢复安全标准

安全是为保障业务服务,保障企业高效连续发展,因此企业灾难恢复计划是一项对企业来说至关重要的策略和计划,以下列出了一些与灾难恢复相关的安全标准,企业应根据所处行业、国家的情况选择合适的安全标准。

国家相关标准相关条款
英国BSIISO/IEC 27031"业务连续性管理体系"帮助组织建立、实施、维护和改进业务连续性管理系统(BCMS)
英国BSIISO/IEC 24762"IT-灾难恢复服务"支持ISO/IEC 27031,并提供关于选择恢复策略、设计恢复安排并实现恢复解决方案的具体方针
美国国家标准和技术研究所NIST SP 800-34"业务连续性计划大纲"为联邦信息系统定制应急计划的指导,但其内容也在非联邦和私营部门得到了广泛应用
美国ISACACOBIT 2019提供IT灾难恢复控制目标
信用卡公司联盟PCI DSS"支付卡行业数据安全标准"支付卡行业有关于灾难恢复、业务连续性相关的内容
美国国会HIPAA"健康保险可携性和责任法案"明确要求医疗服务提供者和公司实施灾难恢复计划
中国GB/T 20988—2007"信息安全技术 信息系统灾难恢复规范"信息系统的灾难恢复工作,包括灾难恢复规划和灾难备份中心的日常运行

灾难恢复计划路径

本文作者:, 转载请注明来自FreeBuf.COM

# 安全管理 # 企业安全体系建设 # 业务安全 # 企业安全建设 # 网络安全架构体系
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录