企业安全总概念部分:
概念:企业安全是根据所处的产业地位、IT总投入能力、商业模式和业务需求为目标,而建立起来的安全解决方案以及保证方案实践的有效性而进行的一系列系统化、工程化的日常安全活动的集合。
包括内容:
1.网络安全:基础、狭义但核心的部分,以计算机和网络为主体的网络安全,主要聚焦再纯技术层面。
2.平台和业务安全:跟所在行业和主营业务相关的安全管理。
3.广义的信息安全:以IT为核心,除了计算机数据库以外、还有包括纸质文档、机要,市场战略规划等经营管理信息、客户隐、内部邮件、会议内容、运营数据、第三方权益信息等。
4.IT风险管理、IT审计&内控:对于中大规模的海外上市公司而言,有诸如SOX-404这样的合理性需求,财务之外就是IT,其中所需求的在流程和技术方面的约束性条款跟信息安全管理重叠,属于外围和相关领域,而信息安全管理本身从属于IT风险管理,是CIO视角下的下一个子区域。
5.业务持续性管理:跟以上每部分都有交集,它提供了一套更高级的视角来看待业务中断问题,对于安全事件,它的方法也比单纯的ISMS更具有可操作性,对业务团队更具有亲和力。
6.安全品牌营销、渠道维护:字面意思
7.打杂:公司需要做,但是运维开发都干不了或者是不合适干的事情,安全团队强大时可以承包下部分。
企业安全部分从零开始:
1.三张表:
第一张表:组织架构图,开展业务的基础。
行政、HR、财务部门:公司层面 信息安全管理全局制度的制定和发布的相关部门,内部审计与其强相关。
基础架构的运维团队,运维安全相关
研发团队,可能在组织中分散在各个事业部、各产品线,应用安全和基础服务器软件安全相关
运营、市场、客服类职
大数据部门
产品部门,业务安全和风控
CXOs:组织中的决策者
2.第二张表:
每一个线上产品和交付的团队的映射。及为问题响应流程,是日常安全的窗口。
3.第三张表:包括全新拓扑、各系统的逻辑架构图、物理部署图、各系统间的调用关系、服务治理结构、数据流关系等