信息安全培訓(xùn)課程——安全管理實(shí)踐SecurityTeam開源改變世界2024/1/15內(nèi)容提綱安全管理實(shí)踐安全管理概述背景介紹安全管理現(xiàn)狀分析管理組織架構(gòu)案例IT安全管理實(shí)踐面臨的問(wèn)題及挑戰(zhàn)安全管理體系回顧體系化安全管理模式安全管理案例場(chǎng)景體系文件建立安全管理架構(gòu)及人員職責(zé)體系化、精細(xì)化安全管理2024/1/15一安全管理概述2024/1/15背景介紹技術(shù)措施需要配合正確的使用才能發(fā)揮作用假如你把鑰匙落在鎖眼上呢？保險(xiǎn)柜就一定安全嗎？2024/1/15背景介紹3G!4G精心設(shè)計(jì)的網(wǎng)絡(luò)防御體系，因違規(guī)外連形同虛設(shè)防火墻能解決這樣的問(wèn)題嗎？2024/1/15面臨的問(wèn)題及挑戰(zhàn)最高管理層對(duì)信息安全的重視和支持力度不夠缺乏明確的信息安全方針組織架構(gòu)及職責(zé)不清晰專職人員數(shù)量及經(jīng)驗(yàn)不足安全管理體系不完善安全管理措施落實(shí)不到位重技術(shù)輕管理的錯(cuò)誤思想。。。。。。體系化安全管理模式依據(jù)安全管理體系標(biāo)準(zhǔn)參考安全管理實(shí)踐經(jīng)驗(yàn)結(jié)合本單位實(shí)際管理情況建立安全管理體系實(shí)施體系化安全管理2024/1/152024/1/15體系整體框架回顧安全管理體系是PDCA動(dòng)態(tài)持續(xù)改進(jìn)的一個(gè)循環(huán)體2024/1/15體系文件結(jié)構(gòu)回顧9明確方針、定義架構(gòu)崗位人員、職責(zé)清晰管理有方、重在執(zhí)行

記錄四階執(zhí)行記錄和報(bào)告-規(guī)章-制度-流程二階流程策略、制度管理細(xì)則操作規(guī)程計(jì)劃、表格、報(bào)告、模板三階職能組職能組職能組職能組操作規(guī)范1操作規(guī)范2操作規(guī)范3操作規(guī)范4關(guān)鍵崗位4關(guān)鍵崗位3關(guān)鍵崗位2關(guān)鍵崗位1樣例總綱一階目標(biāo)、范圍、承諾、責(zé)任等2024/1/15某銀行管理組織架構(gòu)（一）2024/1/15某銀行管理組織架構(gòu)（二）辦公室市場(chǎng)營(yíng)銷部營(yíng)運(yùn)管理部營(yíng)業(yè)部分行職能部門風(fēng)險(xiǎn)管理部綜合管理部財(cái)務(wù)會(huì)計(jì)部零售銀行部企業(yè)金融部保衛(wèi)部2024/1/15某銀行管理組織架構(gòu)（三）支行行長(zhǎng)主抓全面工作副行長(zhǎng)（主抓營(yíng)銷）副行長(zhǎng)（主抓核算）副行長(zhǎng)（主抓管理、服務(wù)）對(duì)私客戶經(jīng)理崗對(duì)私柜員崗對(duì)私柜員崗對(duì)私柜員崗個(gè)人業(yè)務(wù)顧問(wèn)對(duì)私柜員崗對(duì)公客戶經(jīng)理崗對(duì)公柜員崗對(duì)公柜員崗行長(zhǎng)助理協(xié)助行長(zhǎng)處理日常工作2024/1/15二IT安全管理實(shí)踐分行A2024/1/15安全管理現(xiàn)狀分析總行分行B支行A支行B支行C支行D支行E支行F信息科技管理委員會(huì)設(shè)信息安全領(lǐng)導(dǎo)小組信息科技部設(shè)信息安全管理小組安全管理小組設(shè)安全管理員安全保衛(wèi)部設(shè)保安員分行綜管部設(shè)專職/兼職安全員分行保衛(wèi)部設(shè)保安員支行設(shè)兼職安全員支行設(shè)保安員專職人員數(shù)量職責(zé)是否清晰體系是否完善制度是否落地自上而下OR自下而上體系文件2024/1/15場(chǎng)景一:虛擬的管理架構(gòu)我們?cè)O(shè)立安全管理小組負(fù)責(zé)全面的安全管理工作安全管理職責(zé)明確安全管理架構(gòu)健全配備足夠的人員安全管理體系完善哦，看起來(lái)好厲害的樣子！那么這個(gè)小組具體是哪個(gè)部門?管理架構(gòu)都由哪些部門和崗位組成?

。。。。。2024/1/15場(chǎng)景二:名為領(lǐng)導(dǎo)實(shí)為員工小王，桌管系統(tǒng)安裝部署怎么樣了？領(lǐng)導(dǎo)，我接電話呢，你問(wèn)問(wèn)廠商。小王，已經(jīng)部署到XXX分行了，你去分行安裝下客戶端。領(lǐng)導(dǎo)，我忙別的呢，你去吧。小王，XXX分行客戶端安裝完了，你去控制臺(tái)看看上線沒(méi)？領(lǐng)導(dǎo)，還是你去吧，我有個(gè)材料要寫。領(lǐng)導(dǎo)，我明天請(qǐng)假，還是你寫吧。你桌管的合同還沒(méi)寫呢，明天給我。2024/1/15場(chǎng)景三:名為員工實(shí)為領(lǐng)導(dǎo)

小李，這事就交給你了，你抓緊辦。

領(lǐng)導(dǎo)，跟您匯報(bào)下安全管理工作，目前，各部門不是太配合，請(qǐng)求領(lǐng)導(dǎo)組織協(xié)調(diào)下。

可是，領(lǐng)導(dǎo)，您能幫聯(lián)系下各部門領(lǐng)導(dǎo)不？否則我的工作不好開展。

你打電話就說(shuō)我說(shuō)的，讓他們積極配合。

領(lǐng)導(dǎo)，年度信息安全規(guī)劃和年終工作報(bào)告我寫不了，涉及總體架構(gòu)和全面工作情況，我不是很了解還是您寫吧。

小李，你是安全管理崗，專業(yè)能力強(qiáng)，所有信息安全工作都由你負(fù)責(zé)。2024/1/15場(chǎng)景四:專職人員少

恩？系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)、資產(chǎn)、終端等安全管理情況呢？

領(lǐng)導(dǎo)，跟您匯報(bào)下本周工作，目前，按體系文件要求，環(huán)境安全管理、人員安全管理工作正常。

領(lǐng)導(dǎo)，我就一個(gè)人，這么多管理工作，我一下子做不過(guò)來(lái)。

這怎么行，安全管理工作很重要。

領(lǐng)導(dǎo)，我一個(gè)人能力有限，工作只能串行逐步推進(jìn)。

小強(qiáng)，你作為公司的員工，思想得有覺(jué)悟，要有奉獻(xiàn)精神，時(shí)間不夠可以加班做。2024/1/15場(chǎng)景五:職責(zé)不明確

小張，某業(yè)務(wù)部門要上套系統(tǒng)，你去參會(huì)，從安全技術(shù)防護(hù)、安全產(chǎn)品部署、安全測(cè)試方面提出需求建議

啊！領(lǐng)導(dǎo)，這些我不是特別懂。

領(lǐng)導(dǎo)，我只是安全管理職責(zé)，安全技術(shù)、安全產(chǎn)品、安全測(cè)試不在我職責(zé)范圍內(nèi)，我怕做不好。

那怎么行，這些都是信息安全相關(guān)的，都由你負(fù)責(zé)。

。。。。。

小張，現(xiàn)在公司需要專業(yè)的全能型人才，你去吧。2024/1/15場(chǎng)景六:體系不完善

哦，制度體系很龐大，出現(xiàn)散亂的情況很正常，至于缺少的制度，小劉，你上網(wǎng)找找補(bǔ)充進(jìn)去就行了

領(lǐng)導(dǎo)，跟您匯報(bào)下工作，通過(guò)風(fēng)險(xiǎn)檢查發(fā)現(xiàn)公司的制度有些散亂，而且缺少一些方面的制度約束。

啊！領(lǐng)導(dǎo)，這不好吧，別的制度只能參考，與我公司的實(shí)際情況不一樣，我建議依據(jù)國(guó)內(nèi)外標(biāo)準(zhǔn)和行業(yè)最佳實(shí)踐，并結(jié)合我公司實(shí)際情況，建立一套完善的安全管理體系。

小劉，你的想法是好的，可現(xiàn)在公司最重要的是拓展業(yè)務(wù)，制度完不完善不重要。

沒(méi)有一個(gè)完善的體系，怎么管理這么龐大的組織？如何相互協(xié)調(diào)配合？職責(zé)都不明確，怎么給業(yè)務(wù)拓展提供保障2024/1/15場(chǎng)景七:制度不落地

哦？你說(shuō)的意思是你的工作沒(méi)有好好做是吧？

領(lǐng)導(dǎo)，跟您匯報(bào)下工作，我們現(xiàn)在的制度體系還沒(méi)有相應(yīng)的人員去推進(jìn)落地，仍存在于紙面化。

領(lǐng)導(dǎo)，不是這樣的，我已經(jīng)很盡心去做了，只不過(guò)我一個(gè)人確實(shí)能力有限，目前，環(huán)境安全、人員安全、系統(tǒng)安全、網(wǎng)絡(luò)安全管理已落實(shí)相關(guān)工作，可其他方面確實(shí)沒(méi)那么多精力。

小陳，安全管理工作公司領(lǐng)導(dǎo)非常重視，安全無(wú)小事，尤其是我們保障部門。

領(lǐng)導(dǎo)，你說(shuō)的我都明白，可我確實(shí)沒(méi)有更好的辦法，實(shí)在不行我多加點(diǎn)班！

好的，小陳我相信你，努力提升，一定要將制度落地，做好本職工作。2024/1/15場(chǎng)景八:重技術(shù)輕管理

哦？具體是哪方面？

領(lǐng)導(dǎo)，我覺(jué)得我們安全管理工作還是沒(méi)有完全展開。

領(lǐng)導(dǎo)，我們對(duì)網(wǎng)絡(luò)安全、系統(tǒng)安全、終端安全、數(shù)據(jù)安全等方面的管理投入還有所不足。

什么意思？我們上了IDS、IPS、防火墻、WAF、安全審計(jì)、抗DDOS、桌管、脫敏這么多設(shè)備設(shè)施。

可是領(lǐng)導(dǎo)，這些設(shè)備具體情況，我們并沒(méi)有專人詳細(xì)去看，組織人員去分析啊！

好了，小趙，我們部署了這么多技術(shù)產(chǎn)品防護(hù)，管理稍差點(diǎn)沒(méi)什么。2024/1/15一種體系文件框架體系文件總綱人員安全管理資產(chǎn)安全管理訪問(wèn)控制管理環(huán)境安全管理系統(tǒng)和網(wǎng)絡(luò)安全管理數(shù)據(jù)安全管理終端安全管理開發(fā)安全管理外包安全管理安全事件管理符合性管理持續(xù)改進(jìn)管理2024/1/15總綱文件結(jié)構(gòu)體系管理總綱文件(一階)體系管理者代表任命書(三階)安全質(zhì)量負(fù)責(zé)人任命書(三階)安全人員崗位信息表(三階)人員角色職責(zé)對(duì)應(yīng)表(三階)安全管理架構(gòu)及崗位職責(zé)文件(二階)體系適用性聲明(三階)體系術(shù)語(yǔ)定義表(三階)總綱2024/1/15人員安全管理文件結(jié)構(gòu)人員安全管理員工安全管理辦法(二階)外來(lái)人員安全管理辦法(二階)外來(lái)人員安全管理實(shí)施細(xì)則(三階)員工安全管理實(shí)施細(xì)則(三階)人員培訓(xùn)管理實(shí)施細(xì)則(三階)人員培訓(xùn)管理流程圖(三階)安全培訓(xùn)記錄表(三階)員工保密協(xié)議(三階)員工背景調(diào)查表(三階)員工離職申請(qǐng)表(三階)員工離職工作交接及權(quán)限回收表(三階)外來(lái)人員駐場(chǎng)申請(qǐng)表(三階)外來(lái)人員保密協(xié)議(三階)外來(lái)人員背景調(diào)查表(三階)外來(lái)人員離場(chǎng)申請(qǐng)表(三階)外來(lái)人員離場(chǎng)工作交接及權(quán)限回收表(三階)2024/1/15資產(chǎn)安全管理文件結(jié)構(gòu)資產(chǎn)安全管理資產(chǎn)安全管理辦法(二階)資產(chǎn)安全管理實(shí)施細(xì)則(三階)資產(chǎn)處置記錄表(三階)資產(chǎn)登記標(biāo)識(shí)卡(三階)信息資產(chǎn)臺(tái)賬(三階)資產(chǎn)申請(qǐng)審批表(三階)資產(chǎn)交付使用記錄表(三階)資產(chǎn)維修申請(qǐng)審批表(三階)資產(chǎn)分類分級(jí)清單(三階)外部服務(wù)商保密協(xié)議(三階)介質(zhì)安全管理實(shí)施細(xì)則(三階)介質(zhì)領(lǐng)用\歸還記錄表(三階)介質(zhì)抽檢記錄表(三階)介質(zhì)轉(zhuǎn)儲(chǔ)記錄表(三階)介質(zhì)清理\銷毀記錄表(三階)2024/1/15訪問(wèn)控制管理文件結(jié)構(gòu)訪問(wèn)控制管理訪問(wèn)控制管理辦法(二階)訪問(wèn)控制管理實(shí)施細(xì)則(三階)機(jī)密資源管理實(shí)施細(xì)則(三階)機(jī)密資源清單(三階)機(jī)密資源使用審批表(三階)機(jī)密資源銷毀審批表(三階)機(jī)密資源交接表(三階)用戶賬號(hào)權(quán)限管理清單(三階)賬號(hào)權(quán)限開通使用審批表(三階)用戶賬號(hào)權(quán)限審核表(三階)特權(quán)用戶使用審批表(三階)用戶賬號(hào)權(quán)限管理記錄表(三階)賬號(hào)操作審查表(三階)網(wǎng)絡(luò)訪問(wèn)管理記錄表(三階)正版授權(quán)軟件清單(三階)授權(quán)軟件安裝審批記錄(三階)2024/1/15環(huán)境安全管理文件結(jié)構(gòu)環(huán)境安全管理環(huán)境安全管理辦法(二階)辦公區(qū)安全管理實(shí)施細(xì)則(三階)機(jī)房環(huán)境安全管理實(shí)施細(xì)則(三階)辦公環(huán)境安檢記錄表(三階)辦公環(huán)境物品出入審批表(三階)辦公環(huán)境施工審批表(三階)外來(lái)人員進(jìn)出機(jī)房審批表(三階)機(jī)房出入登記表(三階)機(jī)房物品出入審批記錄表(三階)機(jī)房環(huán)境安檢記錄表(三階)環(huán)境安全分析報(bào)告(三階)機(jī)房環(huán)境施工審批表(三階)2024/1/15系統(tǒng)和網(wǎng)絡(luò)安全管理文件結(jié)構(gòu)系統(tǒng)和網(wǎng)絡(luò)安全管理系統(tǒng)和網(wǎng)絡(luò)安全管理辦法(二階)系統(tǒng)與網(wǎng)絡(luò)安全管理實(shí)施細(xì)則(三階)漏洞管理實(shí)施細(xì)則(三階)防病毒管理實(shí)施細(xì)則(三階)系統(tǒng)和網(wǎng)絡(luò)安全分析報(bào)告(三階)網(wǎng)絡(luò)安全域劃分說(shuō)明(三階)安全基線配置文檔(三階)系統(tǒng)和網(wǎng)絡(luò)安全評(píng)審記錄表(三階)系統(tǒng)和網(wǎng)絡(luò)安檢記錄表(三階)入侵檢測(cè)管理實(shí)施細(xì)則(三階)安全性測(cè)試計(jì)劃及記錄(三階)漏洞分析報(bào)告(三階)補(bǔ)丁更新測(cè)試記錄、報(bào)告(三階)測(cè)試申請(qǐng)審批記錄表(三階)入侵事件處置記錄(三階)入侵行為分析報(bào)告(三階)病毒查殺記錄表(三階)病毒分析報(bào)告(三階)2024/1/15數(shù)據(jù)安全管理文件結(jié)構(gòu)數(shù)據(jù)安全管理數(shù)據(jù)安全管理辦法(二階)數(shù)據(jù)安全管理實(shí)施細(xì)則(三階)日志管理實(shí)施細(xì)則(三階)數(shù)據(jù)清理、銷毀記錄表(三階)數(shù)據(jù)脫敏記錄表(三階)數(shù)據(jù)遷移指導(dǎo)手冊(cè)(三階)數(shù)據(jù)查詢使用審批表(三階)外部查詢使用數(shù)據(jù)保密協(xié)議(三階)數(shù)據(jù)轉(zhuǎn)儲(chǔ)、遷移、測(cè)試驗(yàn)證記錄表(三階)數(shù)據(jù)備份、恢復(fù)、測(cè)試記錄表(三階)數(shù)據(jù)安檢記錄表(三階)數(shù)據(jù)安全分析報(bào)告(三階)日志審查記錄表(三階)日志審計(jì)分析報(bào)告(三階)2024/1/15終端安全管理文件結(jié)構(gòu)終端安全管理終端安全管理辦法(二階)終端安全管理實(shí)施細(xì)則(三階)終端安檢記錄表(三階)終端維修申請(qǐng)審批表(三階)終端報(bào)廢申請(qǐng)審批表(三階)終端接入申請(qǐng)審批表(三階)終端出入申請(qǐng)審批表(三階)終端回收記錄表(三階)終端使用處置記錄表(三階)終端安全分析報(bào)告(三階)2024/1/15開發(fā)安全管理文件結(jié)構(gòu)開發(fā)安全管理開發(fā)安全管理辦法(二階)開發(fā)項(xiàng)目安全管理實(shí)施細(xì)則(三階)系統(tǒng)開發(fā)安全分析報(bào)告(三階)安全性測(cè)試計(jì)劃(三階)安全性測(cè)試報(bào)告(三階)軟件開發(fā)安全需求說(shuō)明書(三階)安全技術(shù)需求確認(rèn)表(三階)系統(tǒng)開發(fā)安全檢查記錄表(三階)安全性測(cè)試記錄表(三階)安全需求評(píng)審記錄表(三階)2024/1/15外包安全管理文件結(jié)構(gòu)外包安全管理外包安全管理辦法(二階)外包安全管理實(shí)施細(xì)則(三階)外包商服務(wù)清單(三階)外包商調(diào)查評(píng)價(jià)表(三階)年度外包商評(píng)分表(三階)外包商風(fēng)險(xiǎn)評(píng)估報(bào)告(三階)外包商分類分級(jí)清單(三階)外包商交接記錄表(三階)外包商評(píng)價(jià)標(biāo)準(zhǔn)(三階)外包商安全審計(jì)報(bào)告(三階)外包商保密協(xié)議(三階)外包商安全分析報(bào)告(三階)外包商安全檢查記錄表(三階)2024/1/15安全事件管理文件結(jié)構(gòu)安全事件管理安全事件管理辦法(二階)安全事件管理實(shí)施細(xì)則(三階)安全事件分析報(bào)告(三階)安全事件管理流程圖(三階)安全事件記錄表(三階)安全事件分類分級(jí)清單(三階)安全事件處置分析報(bào)告(三階)安全事件檢查記錄表(三階)2024/1/15符合性管理文件結(jié)構(gòu)符合性管理符合性管理辦法(二階)符合性管理實(shí)施細(xì)則(三階)符合性分析報(bào)告(三階)法律法規(guī)清單(三階)符合性檢查記錄(三階)符合性管理計(jì)劃(三階)2024/1/15持續(xù)改進(jìn)管理文件結(jié)構(gòu)持續(xù)改進(jìn)管理持續(xù)改進(jìn)管理辦法(二階)持續(xù)改進(jìn)管理實(shí)施細(xì)則(三階)內(nèi)審與管審管理辦法(二階)安全檢查管理辦法(二階)內(nèi)審與管審管理實(shí)施細(xì)則(三階)安全檢查管理實(shí)施細(xì)則(三階)持續(xù)改進(jìn)分析報(bào)告(三階)持續(xù)改進(jìn)流程圖(三階)持續(xù)改進(jìn)記錄表(三階)持續(xù)改進(jìn)管理計(jì)劃(三階)持續(xù)改進(jìn)跟蹤記錄表(三階)內(nèi)審與管審分析報(bào)告(三階)內(nèi)審與管審流程圖(三階)內(nèi)審與管審檢查記錄表(三階)內(nèi)審與管審管理計(jì)劃(三階)內(nèi)審與管審評(píng)審會(huì)議紀(jì)要(三階)安全檢查記錄(三階)安全檢查計(jì)劃/方案(三階)安全檢查報(bào)告(三階)2024/1/15安全管理架構(gòu)2024/1/15管理者代表職責(zé)總體協(xié)調(diào)、推動(dòng)管理體系運(yùn)行；分配管理體系具體人員崗位，為安全管理體系的落地實(shí)施和持續(xù)改進(jìn)，協(xié)調(diào)提供所需資源；審批管理體系文件，以確保管理體系的計(jì)劃、實(shí)施、監(jiān)控、改進(jìn)機(jī)制與管理體系方針、目標(biāo)、法律法規(guī)要求保持一致；依據(jù)管理體系方針及總體目標(biāo)，指導(dǎo)制定并審批體系運(yùn)行績(jī)效評(píng)價(jià)指標(biāo)；推動(dòng)安全管理體系的宣貫。2024/1/15安全執(zhí)行經(jīng)理職責(zé)為管理者代表任命管理體系各崗位人員提供建議；組織制定并審核管理體系文件，制定信息安全發(fā)展規(guī)劃，設(shè)計(jì)安全管理架構(gòu)；推動(dòng)管理體系各項(xiàng)活動(dòng)有效執(zhí)行和改進(jìn)，并對(duì)管理體系運(yùn)行的總體績(jī)效負(fù)責(zé)；組織制定、考核管理體系的績(jī)效測(cè)量指標(biāo)；組織實(shí)施安全管理體系落地執(zhí)行，并向最高管理者及管理者代表報(bào)告管理體系總體運(yùn)行情況。2024/1/15安全管理員職責(zé)貫徹、執(zhí)行信息安全管理體系文件要求；制定信息安全管理規(guī)范及策略；推進(jìn)、落實(shí)信息安全管理工作；負(fù)責(zé)信息安全管理的日常管理、安全檢查以及組織協(xié)調(diào)