安全管理体系如何平稳落地
2024-10-22 21:7:58 Author: www.freebuf.com(查看原文) 阅读量:3 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

安全管理体系是安全管理组织安全管理制度的的有机结合体

安全行业常说的三分技术,七分管理,其实说的是安全想要做的好必须依靠人,而安全管理正是约束人的方针,人应该如何开展安全工作,并且如何评估工作开展的情况。

2.1. 安全管理目标

明确的目标才能够成为安全管理工作前进的动力。保障业务可持续发展,让安全服务业务发展。

可量化安全管理指标参考如下:

资产纳管100%,资产更新频率1天

高危漏洞修复率100%,漏洞处置3天

安全通报0事件

安全高危事件100%处置

行业标杆案例5个

.....

安全运维有目标【事前】、安全事件处置【事中】、行业影响力有提升【事后】

2.2. 安全管理流程

遵循PDCA流程,在明晰的组织架构在,由预先定义的安全管理对象,开展相应的安全管理制度,并对安全工作的开展情况进行核查、改进。

计划阶段,制定安全目标和相关策略,包括风险评估和防范措施;

执行阶段,将计划付诸实施,确保安全政策和流程得到遵循;

检查阶段,定期评估实施效果,通过数据分析和内部审计发现问题;

行动阶段,针对检查中发现的不足,进行调整和改进,从而持续优化安全管理制度。

2.3. 安全管理组成

1729602301_6717a2fd135d3bfdfa179.png!small?1729602301367

在安全管理制度的领导下,通过安全管理制度预先设定的要求下,执行安全管理工作。

2.3.1. 安全管理组织

成立信息安全领导小组,自上而下推动信息安全工作。

1729602306_6717a302bca273c1c9af1.png!small?1729602307118

重点工作如下:

(1)明确架构:由公司层面发文定义安全部门的职能和工作位置,与业务部门平级,定义每个安全人员的岗位,以及岗位的工作职责。

(2)定期汇报:由安全管理小组汇总每月安全情况,花费15分钟给安全领导小组汇报,重点体现目前现状,后续安排,需要的支撑条件。由安全领导小组每季度向最高决策层汇报。

(3)安全考核:业务部门应承担起业务部门的安全考核的部分职责,安全不仅仅是安全部门的事情,应该是大家共同的事情,明确安全工作的考核指标,有人员的考核依据,能够使大多数人信服,多付出会有多回报。

(4)安全培训:定期开展安全岗位的培训,提供人员能力;

(5)能力提升:鼓励参加对内部比赛、外部比赛、行业比赛,对参与获取提供一定的奖励,包括岗位晋升、物质生活等方面,提升人员积极性。

已在FreeBuf发表 0 篇文章

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/articles/413477.html
如有侵权请联系:admin#unsafe.sh