安全管理体系是安全管理组织和安全管理制度的的有机结合体。
安全行业常说的三分技术,七分管理,其实说的是安全想要做的好必须依靠人,而安全管理正是约束人的方针,人应该如何开展安全工作,并且如何评估工作开展的情况。
2.1. 安全管理目标
明确的目标才能够成为安全管理工作前进的动力。保障业务可持续发展,让安全服务业务发展。
可量化安全管理指标参考如下:
资产纳管100%,资产更新频率1天
高危漏洞修复率100%,漏洞处置3天
安全通报0事件
安全高危事件100%处置
行业标杆案例5个
.....
安全运维有目标【事前】、安全事件处置【事中】、行业影响力有提升【事后】
2.2. 安全管理流程
遵循PDCA流程,在明晰的组织架构在,由预先定义的安全管理对象,开展相应的安全管理制度,并对安全工作的开展情况进行核查、改进。
在计划阶段,制定安全目标和相关策略,包括风险评估和防范措施;
在执行阶段,将计划付诸实施,确保安全政策和流程得到遵循;
在检查阶段,定期评估实施效果,通过数据分析和内部审计发现问题;
在行动阶段,针对检查中发现的不足,进行调整和改进,从而持续优化安全管理制度。
2.3. 安全管理组成
在安全管理制度的领导下,通过安全管理制度预先设定的要求下,执行安全管理工作。
2.3.1. 安全管理组织
成立信息安全领导小组,自上而下推动信息安全工作。
重点工作如下:
(1)明确架构:由公司层面发文定义安全部门的职能和工作位置,与业务部门平级,定义每个安全人员的岗位,以及岗位的工作职责。
(2)定期汇报:由安全管理小组汇总每月安全情况,花费15分钟给安全领导小组汇报,重点体现目前现状,后续安排,需要的支撑条件。由安全领导小组每季度向最高决策层汇报。
(3)安全考核:业务部门应承担起业务部门的安全考核的部分职责,安全不仅仅是安全部门的事情,应该是大家共同的事情,明确安全工作的考核指标,有人员的考核依据,能够使大多数人信服,多付出会有多回报。
(4)安全培训:定期开展安全岗位的培训,提供人员能力;
(5)能力提升:鼓励参加对内部比赛、外部比赛、行业比赛,对参与获取提供一定的奖励,包括岗位晋升、物质生活等方面,提升人员积极性。
已在FreeBuf发表 0 篇文章
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022