先问个问题,如果一家公司,没有任何安全建设体系,也没有相关的意识,你会怎么去从0开始做起来?
有的人可能会说,按照ISO27001的体系去建立,先创立安全委员会,安全执行接口人等角色,再划分资产识别等
说的很对,但也不对,既然是从0做起,你能确保各个领导阶层和董事会会配合你的工作吗?
对于实际的工作来说,各个董事会阶层希望看到的是实际,能落地执行的方案,文件只是作为依据确立下来,而文件也要保证是可执行的。
那么,我们可以如下思路去逆推:
- 划分基本的违规事件定义,及处罚标准(直观的告诉董事会成员哪些事是需要处罚的,处罚的定义标准大概是多少)
- 建立信息安全委员会,确立各部门职责(委员会是拿来挂名头推动工作的,但是到后面可以作为依据要求各部门领导配合工作。告诉老板我们需要建立什么样的虚拟安全管理组织,组织里面各个成员要做什么,这个是落地的,可执行的文件)
- 分工授权(有了委员会,确立了安全执行接口人,那么接下来分工就方便了,遇见审计,整改,调查类的事务直接按级分摊即可)
- 资产识别,保密信息的识别,分类
- 首先,划分保密信息级别的等级标准,如:绝密,机密,秘密,内部。
- 告知各个部门需要做的事:对内部已有文档进行保密等级定级,定级标准由文档创作者或管理者发起流程到各个部门最高领导,批准该文档的保密等级。后续新产生的组织官方文档均以该形式进行。
这一步,也是信息资产的识别过程。
- 划分各部门安全职责(指定各个部门需要分摊的信息安全日常指标)
- 根据等保之类的标准可以开始推进物理安全实施
- 之后的什么数据治理,数据安全,之类的,都是需要先把27001和等保落地才具备基础去做的
若有收获,就点个赞吧
0 人点赞
