0
点赞
收藏
分享

微信扫一扫

信息安全团队的职责分工

徐一村 2024-11-10 阅读 18

引言

首先我认为传统的信息安全是各自划分地盘,进行管理、技术、运营加固的体系;而现在更多强调的是数据安全,基于数据生命周期确保数据的CIA。

两者不冲突,我们需要基于现状(外部环境、公司环境、个人性格)构建属于自己的“信息安全/数据安全”理念/框架

原则

把数据安全抽象为一个实体(可以代表一个团队,也可以代表一块业务 )它无法独立于其它安全域而存在,他们之间是共建的关系,信息安全团队直接为保证数据的安全的目标负责,并需要拥有对应解释的权利和履行解释的义务。

一个应用、一套系统、一个站点要为自身的数据安全负责,不应抱有将数据安全责任给信息安全团队的错误认识,但可以向信息安全团队寻求帮助和指导;

总部信息安全团队不应试图捕捉所有每个应用或系统的数据安全风险,并尝试给出技术解决方案,而更要站在更大全局的视角提供相对通用和普世的产出。

框架

信息安全团队的职责分工_数据安全

职责



信息安全团队

应用管理员/系统管理员/分子站点IT工程师

决策

  1. 制定信息安全战略和目标,确保与公司整体业务战略一致。
  2. 制定信息安全制度和SOP,包括管理/技术标准、操作原则等
  3. 制定信息安全执行策略和年度工作计划


管理

  1. 负责信息安全风险管理活动
  2. 管理供应商信息安全,包括准入审核和信息安全评分
  3. 支持外部信息安全审计
  4. 负责内部各站点信息安全审计
  5. 建立全员信息安全培训和意识提升计划
  6. 系统发布的安全评估及放行
  1. 执行集团信息安全政策和标准。
  2. 制定和实施本地化的信息安全措施,以满足特定地区或业务的需求。
  3. 信息安全预算
  4. 响应和处理安全事件,包括调查、缓解和报告。


执行

  1. 制作信息安全培训内容,并确保海外使用内容经过海外IT团队审核
  2. 进行loudong扫描、shentou测试和信息安全攻防演练。
  3. SOC系统运维,策略配置,事件调查支持进行信息安全整体态势和威胁回顾与分析
  4. 研究信息安全法规与行业最佳实践,提供管理和技术方案建议。
  5. 各应用系统相关安全配置策略检查与审核,确保达到标准
  6. 负责信息安全事件处置:
  1. 安全事件响应与处置方案提供,安全事件外部报告与应对
  2. 对接监管机构、利益相关方信息安全事件的沟通和通报


  1. 执行本地员工的信息安全培训和支持(站点IT工程师)
  2. 网络系统安全策略配置,威胁监控与分析(网络团队
  3. 服务器/主机、中间件、数据库系统安全策略配置,威胁监控与分析(运维工程师)
  4. 应用系统安全策略及配置(系统管理员)
  5. 代码安全(含供应商)(开发团队)
  6. 终端安全配置与威胁分析(桌面运维)
  7. 防bingdu系统运维与威胁分析(桌面运维)
  8. 邮件钓鱼演练(邮件系统管理员)


附录

如下这段话摘自公众号:连续创业的Janky

谁为信息安全负责?

假设服务端主机系统存在loudong且被heike利用,最终导致了数据泄露,此般事故若是定责的话,应该归因到信息安全团队还是应用管理员或者系统管理员,或者是业务部门?

任何指明责任方的回答一定都是“不正确”的答案,我们唯一可以明确的是确实发生了数据泄露事故,信息安全团队一定是需要有解释的权利和义务。同时我们也无法穷举一切可能发生数据泄露的风险场景,然后生硬的为各个安全域划定范围,核心矛盾在于几乎一切风险都能转换为数据安全问题,如果范围圈定太广必然导致数据安全业务无法承受自身之重,如果范围圈定太小又必然导致其它安全业务的不公感增强。

一个国家或一个社会的繁荣进步,离不开每个个体的付出和努力,然而事实上并不是每个个体都具备为国之崛起而奋斗的胸怀和能力,国家或社会也不会要求个体为宏观的目标理想负责。

这便是对开篇关于亚当·斯密引语的白话解读,个体只需要关注如何实现自身的利益最大化(当然是通过合法方式获取合法利益的前提假设),即默默完成了推动和促进社会国家利益的最大化。

数据安全作为状态化的名词,表达的是追求数据的安全状态,这里的状态就是亚当·斯密笔下的国家社会集体利益,应用安全、网络安全、主机安全、移动安全、数据安全等业务或团队就是集体中的个体。每个个体都有自己关注的范围如主机安全领域的防入侵、防bingdu、补丁管理、端口管控等等,个体并不直接为数据安全目标负责,但就在解决好自身关注的风险同时已经帮助达到了整体数据的安全的目标。


举报

相关推荐

0 条评论