[安全生产管理]信息安全管理实践

《[安全生产管理]信息安全管理实践》由会员分享，可在线阅读，更多相关《[安全生产管理]信息安全管理实践（46页珍藏版）》请在金锄头文库上搜索。

1、2021/4/24,内容提纲,安全管理实践,安全管理 概述,IT安全管理 实践,2021/4/24,2021/4/24,背景介绍,技术措施需要配合正确的使用才能发挥作用 假如你把钥匙落在锁眼上呢,保险柜就一定安全吗,2021/4/24,背景介绍,3G!4G,精心设计的网络防御体系，因违规外连形同虚设,防火墙能解决这样的问题吗,2021/4/24,面临的问题及挑战,最高管理层对信息安全的重视和支持力度不够 缺乏明确的信息安全方针 组织架构及职责不清晰 专职人员数量及经验不足 安全管理体系不完善 安全管理措施落实不到位 重技术轻管理的错误思想,体系化安全管理模式,依据 安全管理体系标准 参考 安全

2、管理实践经验 结合 本单位实际管理情况 建立 安全管理体系 实施 体系化安全管理,2021/4/24,2021/4/24,体系整体框架回顾,安全管理体系是PDCA动态持续改进的一个循环体,2021/4/24,体系文件结构回顾,8,明确方针、定义架构 岗位人员、职责清晰 管理有方、重在执行,样例,2021/4/24,某银行管理组织架构（一,2021/4/24,某银行管理组织架构（二,2021/4/24,某银行管理组织架构（三,2021/4/24,分行A,2021/4/24,安全管理现状分析,总行,分行B,支行A,支行B,支行C,支行D,支行E,支行F,信息科技管理委员会设信息安全领导小组 信息科

3、技部设信息安全管理小组 安全管理小组设安全管理员 安全保卫部设保安员,分行综管部设专职/兼职安全员 分行保卫部设保安员,支行设兼职安全员 支行设保安员,体系文件,2021/4/24,场景一:虚拟的管理架构,我们设立安全管理小组,负责全面的安全管理工作,安全管理职责明确,安全管理架构健全,配备足够的人员,安全管理体系完善,哦，看起来好厉害的样子,那么这个小组具体是哪个部门,管理架构都由哪些部门和岗位组成,2021/4/24,场景二:名为领导实为员工,小王，桌管系统安装部署怎么样了,领导，我接电话呢，你问问厂商,小王，已经部署到XXX分行了，你去分行安装下客户端,领导，我忙别的呢，你去吧,小王，X

4、XX分行客户端安装完了，你去控制台看看上线没,领导，还是你去吧，我有个材料要写,领导，我明天请假，还是你写吧,2021/4/24,场景三:名为员工实为领导,小李，这事就交给你了，你抓紧办,领导，跟您汇报下安全管 理工作，目前，各部门不是太配合，请求领导组织协调下,可是，领导，您能帮联系 下各部门领导不？否则我的工作不好开展,你打电话就说我说的，让他们积极配合,领导，年度信息 安全规划和年终工作 报告我写不了，涉及 总体架构和全面工作 情况，我不是很了解 还是您写吧,小李，你是安全管理岗，专业能力强，所有信息安全工作都由你负责,2021/4/24,场景四:专职人员少,恩？系统、网络、应用、数据、

5、资产、终端等安全管理情况呢,领导，跟您汇报下本周工作，目前，按体系文件要求，环境安全管理、人员安全管理工作正常,领导，我就一个人，这么多管理工作，我一下子做不过来,这怎么行，安全管理工作很重要,领导，我一个人 能力有限，工作只能 串行逐步推进,小强，你作为公司的 员工，思想得有觉悟，要有奉献精神，时间不够可以加班做,2021/4/24,场景五:职责不明确,小张，某业务部门要上套系 统，你去参会，从安全技术防护、安全产品部署、安全测试方面提出需求建议,啊！领导，这些我不是特别懂,领导，我只是安全管理职责，安全技术、安全产品、安全测试不在我职责范围内，我怕做不好,那怎么行，这些都是信息安全相关的，

6、都由你负责,小张，现在公司需要专业的全能型人才，你去吧,2021/4/24,场景六:体系不完善,哦，制度体系很庞大，出现 散乱的情况很正常，至于缺少的制度，小刘，你上网找找补充进去就行了,领导，跟您汇报下工作，通过风险检查发现公司的制度有些散乱，而且缺少一些方面的制度约束,啊！领导，这不好吧，别的制度只能参考，与我公司的实际情况不一样，我建议依据国内外标准和行业最佳实践，并结合我公司实际情况，建立一套完善的安 全管理体系,小刘，你的想法是好 的，可现在公司最重要的是拓展业务，制度完不完善不重要,没有一个完善的 体系，怎么管理这么 庞大的组织？如何相 互协调配合？职责都 不明确，怎么给业务 拓展

7、提供保障,2021/4/24,场景七:制度不落地,哦？你说的意思是你的工作没有好好做是吧,领导，跟您汇报下工作，我们现在的制度体系还没有相应的人员去推进落地，仍存在于纸面化,领导，不是这样的，我已经很尽心去做了，只不过我一个人确实能力有限，目前，环境安全、人员安全、系统安全、网络安全管理已落实相关工作，可其他方 面确实没那么多精力,小陈，安全管理工作公司领导非常重视，安全无小事，尤其是我们保障部门,领导，你说的我 都明白，可我确实没 有更好的办法，实在 不行我多加点班,好的，小陈我相信你，努力提升，一定要将制度落地，做好本职工作,2021/4/24,场景八:重技术轻管理,哦？具体是哪方面,领导

8、，我觉得我们安全管理工作还是没有完全展开,领导，我们对网络安全、系统安全、终端安全、数据安全等方面的管理投入还有所不足,什么意思？我们上了IDS、IPS、防火墙、WAF、安全审计、抗DDOS、桌管、脱敏这么多设备设施,可是领导，这些 设备具体情况，我们 并没有专人详细去看 ，组织人员去分析啊,好了，小赵，我们部署了这么多技术产品防护，管理稍差点没什么,2021/4/24,一种体系文件框架,体系文件,总纲,安全事件管理,符合性管理,持续改进管理,2021/4/24,总纲文件结构,体系管理总纲文件(一阶,安全管理架构及岗位职责文件(二阶,体系适用性声明(三阶,体系术语定义表(三阶,总纲,2021/

9、4/24,人员安全管理文件结构,人员安全管理,员工安全管理办法(二阶,外来人员安全管理办法(二阶,外来人员安全管理实施细则(三阶,员工安全管理实施细则(三阶,人员培训管理实施细则(三阶,2021/4/24,资产安全管理文件结构,资产安全管理,资产安全管理办法(二阶,资产安全管理实施细则(三阶,介质安全管理实施细则(三阶,2021/4/24,访问控制管理文件结构,访问控制管理,访问控制管理办法(二阶,访问控制管理实施细则(三阶,机密资源管理实施细则(三阶,2021/4/24,环境安全管理文件结构,环境安全管理,环境安全管理办法(二阶,办公区安全管理实施细则(三阶,机房环境安全管理实施细则(三阶,

10、2021/4/24,系统和网络安全管理文件结构,系统和网络安全管理,系统和网络安全管理办法(二阶,系统与网络安全管理实施细则(三阶,漏洞管理实施细则(三阶,防病毒管理实施细则(三阶,入侵检测管理实施细则(三阶,2021/4/24,数据安全管理文件结构,数据安全管理,数据安全管理办法(二阶,数据安全管理实施细则(三阶,日志管理实施细则(三阶,2021/4/24,终端安全管理文件结构,终端安全管理,终端安全管理办法(二阶,终端安全管理实施细则(三阶,2021/4/24,开发安全管理文件结构,开发安全管理,开发安全管理办法(二阶,开发项目安全管理实施细则(三阶,2021/4/24,外包安全管理文件结

11、构,外包安全管理,外包安全管理办法(二阶,外包安全管理实施细则(三阶,2021/4/24,安全事件管理文件结构,安全事件管理,安全事件管理办法(二阶,安全事件管理实施细则(三阶,2021/4/24,符合性管理文件结构,符合性管理,符合性管理办法(二阶,符合性管理实施细则(三阶,2021/4/24,持续改进管理文件结构,持续改进管理,持续改进管理办法(二阶,持续改进管理实施细则(三阶,内审与管审管理办法(二阶,安全检查管理办法(二阶,内审与管审管理实施细则(三阶,安全检查管理实施细则(三阶,2021/4/24,安全管理架构,2021/4/24,管理者代表职责,总体协调、推动管理体系运行； 分配管

12、理体系具体人员岗位，为安全管理体系的落地实施和持续改进，协调提供所需资源； 审批管理体系文件，以确保管理体系的计划、实施、监控、改进机制与管理体系方针、目标、法律法规要求保持一致； 依据管理体系方针及总体目标，指导制定并审批体系运行绩效评价指标； 推动安全管理体系的宣贯,2021/4/24,安全执行经理职责,为管理者代表任命管理体系各岗位人员提供建议； 组织制定并审核管理体系文件，制定信息安全发展规划，设计安全管理架构； 推动管理体系各项活动有效执行和改进，并对管理体系运行的总体绩效负责； 组织制定、考核管理体系的绩效测量指标； 组织实施安全管理体系落地执行，并向最高管理者及管理者代表报告管理

13、体系总体运行情况,2021/4/24,安全管理员职责,贯彻、执行信息安全管理体系文件要求； 制定信息安全管理规范及策略； 推进、落实信息安全管理工作； 负责信息安全管理的日常管理、安全检查以及组织协调问题整改工作； 组织、实施信息安全相关培训工作； 信息安全事件的组织协调工作； 其他信息安全管理相关的工作,2021/4/24,信息安全员职责,具体落实信息安全管理体系文件要求； 制定信息系统安全的技术性方案； 推进、落实信息安全技术研发工作； 负责信息系统安全的日常检查及整改落实工作； 安全测试、安全技术培训的实施工作； 信息安全事件的应急处置工作； 其他信息安全技术相关的工作,2021/4/2

14、4,质量监督员职责,根据符合性要求，定期开展检查工作； 制定持续改进计划，并定期修订、评审体系文件； 制定内审与管审计划，定期开展审核工作； 组织相关人员定期开展信息安全检查工作； 制定符合性、内审与管审、安全检查等相关报告，并上报安全执行经理； 其他持续改进相关的工作,2021/4/24,体系化安全管理流程,管理办法,管理细则,指导,执行,记录,检查评估,绩效考核,做什么,怎么做,落地,做没做,做得好不好,做得更好,改进,2021/4/24,体系化安全管理实例（一,2021/4/24,体系化安全管理实例（二,2021/4/24,精细化安全管理的一点想法,安全管理架构精细化 成立安全作战实验室,岗位职责精细化 划分安全技术研发、安全管理、安全测试、事件应急方面的岗位，并配备相应的人员,管理内容精细化 细化环境、系统、网络、应用、数据、人员、外包等安全管理内容，增加安全方面的应急预案、演练,安全管理工具辅助 根据管理体系文件和成熟的安全管理经验，结合公司实际管理情况，自主开发或采购自动化管理工具辅助,2021/4/24,思考一下,还有哪些安全管理问题,还有哪些安全管理模式及方法