信息安全培训教材 课件_第1页
信息安全培训教材 课件_第2页
信息安全培训教材 课件_第3页
信息安全培训教材 课件_第4页
信息安全培训教材 课件_第5页
已阅读5页,还剩93页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

信息安全培训课程——安全管理实践SecurityTeam开源改变世界信息安全培训课程——安全管理实践开源改变世界2022/12/30内容提纲安全管理实践安全管理概述背景介绍安全管理现状分析管理组织架构案例IT安全管理实践面临的问题及挑战安全管理体系回顾体系化安全管理模式安全管理案例场景体系文件建立安全管理架构及人员职责体系化、精细化安全管理2022/12/22内容提纲安全管理实践安全管理背景介绍安全2022/12/30一安全管理概述2022/12/22一安全管理概述2022/12/30背景介绍技术措施需要配合正确的使用才能发挥作用假如你把钥匙落在锁眼上呢?保险柜就一定安全吗?2022/12/22背景介绍技术措施需要配合正确的使用才能发2022/12/30背景介绍3G!4G精心设计的网络防御体系,因违规外连形同虚设防火墙能解决这样的问题吗?2022/12/22背景介绍3G!4G精心设计的网络防御体系2022/12/30面临的问题及挑战最高管理层对信息安全的重视和支持力度不够缺乏明确的信息安全方针组织架构及职责不清晰专职人员数量及经验不足安全管理体系不完善安全管理措施落实不到位重技术轻管理的错误思想。。。。。。2022/12/22面临的问题及挑战最高管理层对信息安全的重体系化安全管理模式依据安全管理体系标准参考安全管理实践经验结合本单位实际管理情况建立安全管理体系实施体系化安全管理2022/12/30体系化安全管理模式依据安全管理体系标准2022/12/222022/12/30体系整体框架回顾安全管理体系是PDCA动态持续改进的一个循环体2022/12/22体系整体框架回顾安全管理体系是PDCA动2022/12/30体系文件结构回顾9明确方针、定义架构岗位人员、职责清晰管理有方、重在执行

记录四阶执行记录和报告-规章-制度-流程二阶流程策略、制度管理细则操作规程计划、表格、报告、模板三阶职能组职能组职能组职能组操作规范1操作规范2操作规范3操作规范4关键岗位4关键岗位3关键岗位2关键岗位1样例总纲一阶目标、范围、承诺、责任等2022/12/22体系文件结构回顾9明确方针、定义架构2022/12/30某银行管理组织架构(一)2022/12/22某银行管理组织架构(一)2022/12/30某银行管理组织架构(二)办公室市场营销部营运管理部营业部分行职能部门风险管理部综合管理部财务会计部零售银行部企业金融部保卫部2022/12/22某银行管理组织架构(二)办公室市场营销部2022/12/30某银行管理组织架构(三)支行行长主抓全面工作副行长(主抓营销)副行长(主抓核算)副行长(主抓管理、服务)对私客户经理岗对私柜员岗对私柜员岗对私柜员岗个人业务顾问对私柜员岗对公客户经理岗对公柜员岗对公柜员岗行长助理协助行长处理日常工作2022/12/22某银行管理组织架构(三)支行行长副行长副2022/12/30二IT安全管理实践2022/12/22二IT安全管理实践分行A2022/12/30安全管理现状分析总行分行B支行A支行B支行C支行D支行E支行F信息科技管理委员会设信息安全领导小组信息科技部设信息安全管理小组安全管理小组设安全管理员安全保卫部设保安员分行综管部设专职/兼职安全员分行保卫部设保安员支行设兼职安全员支行设保安员专职人员数量职责是否清晰体系是否完善制度是否落地自上而下OR自下而上分行A2022/12/22安全管理现状分析总行分行B支行A支体系文件2022/12/30场景一:虚拟的管理架构我们设立安全管理小组负责全面的安全管理工作安全管理职责明确安全管理架构健全配备足够的人员安全管理体系完善哦,看起来好厉害的样子!那么这个小组具体是哪个部门?管理架构都由哪些部门和岗位组成?

。。。。。体系文件2022/12/22场景一:虚拟的管理架构我们设立安2022/12/30场景二:名为领导实为员工小王,桌管系统安装部署怎么样了?领导,我接电话呢,你问问厂商。小王,已经部署到XXX分行了,你去分行安装下客户端。领导,我忙别的呢,你去吧。小王,XXX分行客户端安装完了,你去控制台看看上线没?领导,还是你去吧,我有个材料要写。领导,我明天请假,还是你写吧。你桌管的合同还没写呢,明天给我。2022/12/22场景二:名为领导实为员工小王,桌管系统安2022/12/30场景三:名为员工实为领导

小李,这事就交给你了,你抓紧办。

领导,跟您汇报下安全管理工作,目前,各部门不是太配合,请求领导组织协调下。

可是,领导,您能帮联系下各部门领导不?否则我的工作不好开展。

你打电话就说我说的,让他们积极配合。

领导,年度信息安全规划和年终工作报告我写不了,涉及总体架构和全面工作情况,我不是很了解还是您写吧。

小李,你是安全管理岗,专业能力强,所有信息安全工作都由你负责。2022/12/22场景三:名为员工实为领导小李,这事2022/12/30场景四:专职人员少

恩?系统、网络、应用、数据、资产、终端等安全管理情况呢?

领导,跟您汇报下本周工作,目前,按体系文件要求,环境安全管理、人员安全管理工作正常。

领导,我就一个人,这么多管理工作,我一下子做不过来。

这怎么行,安全管理工作很重要。

领导,我一个人能力有限,工作只能串行逐步推进。

小强,你作为公司的员工,思想得有觉悟,要有奉献精神,时间不够可以加班做。2022/12/22场景四:专职人员少恩?系统、网2022/12/30场景五:职责不明确

小张,某业务部门要上套系统,你去参会,从安全技术防护、安全产品部署、安全测试方面提出需求建议

啊!领导,这些我不是特别懂。

领导,我只是安全管理职责,安全技术、安全产品、安全测试不在我职责范围内,我怕做不好。

那怎么行,这些都是信息安全相关的,都由你负责。

。。。。。

小张,现在公司需要专业的全能型人才,你去吧。2022/12/22场景五:职责不明确小张,某业务部门2022/12/30场景六:体系不完善

哦,制度体系很庞大,出现散乱的情况很正常,至于缺少的制度,小刘,你上网找找补充进去就行了

领导,跟您汇报下工作,通过风险检查发现公司的制度有些散乱,而且缺少一些方面的制度约束。

啊!领导,这不好吧,别的制度只能参考,与我公司的实际情况不一样,我建议依据国内外标准和行业最佳实践,并结合我公司实际情况,建立一套完善的安全管理体系。

小刘,你的想法是好的,可现在公司最重要的是拓展业务,制度完不完善不重要。

没有一个完善的体系,怎么管理这么庞大的组织?如何相互协调配合?职责都不明确,怎么给业务拓展提供保障2022/12/22场景六:体系不完善哦,制度体系很庞2022/12/30场景七:制度不落地

哦?你说的意思是你的工作没有好好做是吧?

领导,跟您汇报下工作,我们现在的制度体系还没有相应的人员去推进落地,仍存在于纸面化。

领导,不是这样的,我已经很尽心去做了,只不过我一个人确实能力有限,目前,环境安全、人员安全、系统安全、网络安全管理已落实相关工作,可其他方面确实没那么多精力。

小陈,安全管理工作公司领导非常重视,安全无小事,尤其是我们保障部门。

领导,你说的我都明白,可我确实没有更好的办法,实在不行我多加点班!

好的,小陈我相信你,努力提升,一定要将制度落地,做好本职工作。2022/12/22场景七:制度不落地哦?你说的意思是2022/12/30场景八:重技术轻管理

哦?具体是哪方面?

领导,我觉得我们安全管理工作还是没有完全展开。

领导,我们对网络安全、系统安全、终端安全、数据安全等方面的管理投入还有所不足。

什么意思?我们上了IDS、IPS、防火墙、WAF、安全审计、抗DDOS、桌管、脱敏这么多设备设施。

可是领导,这些设备具体情况,我们并没有专人详细去看,组织人员去分析啊!

好了,小赵,我们部署了这么多技术产品防护,管理稍差点没什么。2022/12/22场景八:重技术轻管理哦?具体是哪方2022/12/30一种体系文件框架体系文件总纲人员安全管理资产安全管理访问控制管理环境安全管理系统和网络安全管理数据安全管理终端安全管理开发安全管理外包安全管理安全事件管理符合性管理持续改进管理2022/12/22一种体系文件框架体系文件总纲人员安全管理2022/12/30总纲文件结构体系管理总纲文件(一阶)体系管理者代表任命书(三阶)安全质量负责人任命书(三阶)安全人员岗位信息表(三阶)人员角色职责对应表(三阶)安全管理架构及岗位职责文件(二阶)体系适用性声明(三阶)体系术语定义表(三阶)总纲2022/12/22总纲文件结构体系管理总纲文件(一阶)体系2022/12/30人员安全管理文件结构人员安全管理员工安全管理办法(二阶)外来人员安全管理办法(二阶)外来人员安全管理实施细则(三阶)员工安全管理实施细则(三阶)人员培训管理实施细则(三阶)人员培训管理流程图(三阶)安全培训记录表(三阶)员工保密协议(三阶)员工背景调查表(三阶)员工离职申请表(三阶)员工离职工作交接及权限回收表(三阶)外来人员驻场申请表(三阶)外来人员保密协议(三阶)外来人员背景调查表(三阶)外来人员离场申请表(三阶)外来人员离场工作交接及权限回收表(三阶)2022/12/22人员安全管理文件结构人员安全管理员工安全2022/12/30资产安全管理文件结构资产安全管理资产安全管理办法(二阶)资产安全管理实施细则(三阶)资产处置记录表(三阶)资产登记标识卡(三阶)信息资产台账(三阶)资产申请审批表(三阶)资产交付使用记录表(三阶)资产维修申请审批表(三阶)资产分类分级清单(三阶)外部服务商保密协议(三阶)介质安全管理实施细则(三阶)介质领用\归还记录表(三阶)介质抽检记录表(三阶)介质转储记录表(三阶)介质清理\销毁记录表(三阶)2022/12/22资产安全管理文件结构资产安全管理资产安全2022/12/30访问控制管理文件结构访问控制管理访问控制管理办法(二阶)访问控制管理实施细则(三阶)机密资源管理实施细则(三阶)机密资源清单(三阶)机密资源使用审批表(三阶)机密资源销毁审批表(三阶)机密资源交接表(三阶)用户账号权限管理清单(三阶)账号权限开通使用审批表(三阶)用户账号权限审核表(三阶)特权用户使用审批表(三阶)用户账号权限管理记录表(三阶)账号操作审查表(三阶)网络访问管理记录表(三阶)正版授权软件清单(三阶)授权软件安装审批记录(三阶)2022/12/22访问控制管理文件结构访问控制管理访问控制2022/12/30环境安全管理文件结构环境安全管理环境安全管理办法(二阶)办公区安全管理实施细则(三阶)机房环境安全管理实施细则(三阶)办公环境安检记录表(三阶)办公环境物品出入审批表(三阶)办公环境施工审批表(三阶)外来人员进出机房审批表(三阶)机房出入登记表(三阶)机房物品出入审批记录表(三阶)机房环境安检记录表(三阶)环境安全分析报告(三阶)机房环境施工审批表(三阶)2022/12/22环境安全管理文件结构环境安全管理环境安全2022/12/30系统和网络安全管理文件结构系统和网络安全管理系统和网络安全管理办法(二阶)系统与网络安全管理实施细则(三阶)漏洞管理实施细则(三阶)防病毒管理实施细则(三阶)系统和网络安全分析报告(三阶)网络安全域划分说明(三阶)安全基线配置文档(三阶)系统和网络安全评审记录表(三阶)系统和网络安检记录表(三阶)入侵检测管理实施细则(三阶)安全性测试计划及记录(三阶)漏洞分析报告(三阶)补丁更新测试记录、报告(三阶)测试申请审批记录表(三阶)入侵事件处置记录(三阶)入侵行为分析报告(三阶)病毒查杀记录表(三阶)病毒分析报告(三阶)2022/12/22系统和网络安全管理文件结构系统和网络安全2022/12/30数据安全管理文件结构数据安全管理数据安全管理办法(二阶)数据安全管理实施细则(三阶)日志管理实施细则(三阶)数据清理、销毁记录表(三阶)数据脱敏记录表(三阶)数据迁移指导手册(三阶)数据查询使用审批表(三阶)外部查询使用数据保密协议(三阶)数据转储、迁移、测试验证记录表(三阶)数据备份、恢复、测试记录表(三阶)数据安检记录表(三阶)数据安全分析报告(三阶)日志审查记录表(三阶)日志审计分析报告(三阶)2022/12/22数据安全管理文件结构数据安全管理数据安全2022/12/30终端安全管理文件结构终端安全管理终端安全管理办法(二阶)终端安全管理实施细则(三阶)终端安检记录表(三阶)终端维修申请审批表(三阶)终端报废申请审批表(三阶)终端接入申请审批表(三阶)终端出入申请审批表(三阶)终端回收记录表(三阶)终端使用处置记录表(三阶)终端安全分析报告(三阶)2022/12/22终端安全管理文件结构终端安全管理终端安全2022/12/30开发安全管理文件结构开发安全管理开发安全管理办法(二阶)开发项目安全管理实施细则(三阶)系统开发安全分析报告(三阶)安全性测试计划(三阶)安全性测试报告(三阶)软件开发安全需求说明书(三阶)安全技术需求确认表(三阶)系统开发安全检查记录表(三阶)安全性测试记录表(三阶)安全需求评审记录表(三阶)2022/12/22开发安全管理文件结构开发安全管理开发安全2022/12/30外包安全管理文件结构外包安全管理外包安全管理办法(二阶)外包安全管理实施细则(三阶)外包商服务清单(三阶)外包商调查评价表(三阶)年度外包商评分表(三阶)外包商风险评估报告(三阶)外包商分类分级清单(三阶)外包商交接记录表(三阶)外包商评价标准(三阶)外包商安全审计报告(三阶)外包商保密协议(三阶)外包商安全分析报告(三阶)外包商安全检查记录表(三阶)2022/12/22外包安全管理文件结构外包安全管理外包安全2022/12/30安全事件管理文件结构安全事件管理安全事件管理办法(二阶)安全事件管理实施细则(三阶)安全事件分析报告(三阶)安全事件管理流程图(三阶)安全事件记录表(三阶)安全事件分类分级清单(三阶)安全事件处置分析报告(三阶)安全事件检查记录表(三阶)2022/12/22安全事件管理文件结构安全事件管理安全事件2022/12/30符合性管理文件结构符合性管理符合性管理办法(二阶)符合性管理实施细则(三阶)符合性分析报告(三阶)法律法规清单(三阶)符合性检查记录(三阶)符合性管理计划(三阶)2022/12/22符合性管理文件结构符合性管理符合性管理办2022/12/30持续改进管理文件结构持续改进管理持续改进管理办法(二阶)持续改进管理实施细则(三阶)内审与管审管理办法(二阶)安全检查管理办法(二阶)内审与管审管理实施细则(三阶)安全检查管理实施细则(三阶)持续改进分析报告(三阶)持续改进流程图(三阶)持续改进记录表(三阶)持续改进管理计划(三阶)持续改进跟踪记录表(三阶)内审与管审分析报告(三阶)内审与管审流程图(三阶)内审与管审检查记录表(三阶)内审与管审管理计划(三阶)内审与管审评审会议纪要(三阶)安全检查记录(三阶)安全检查计划/方案(三阶)安全检查报告(三阶)2022/12/22持续改进管理文件结构持续改进管理持续改进2022/12/30安全管理架构2022/12/22安全管理架构2022/12/30管理者代表职责总体协调、推动管理体系运行;分配管理体系具体人员岗位,为安全管理体系的落地实施和持续改进,协调提供所需资源;审批管理体系文件,以确保管理体系的计划、实施、监控、改进机制与管理体系方针、目标、法律法规要求保持一致;依据管理体系方针及总体目标,指导制定并审批体系运行绩效评价指标;推动安全管理体系的宣贯。2022/12/22管理者代表职责总体协调、推动管理体系运行2022/12/30安全执行经理职责为管理者代表任命管理体系各岗位人员提供建议;组织制定并审核管理体系文件,制定信息安全发展规划,设计安全管理架构;推动管理体系各项活动有效执行和改进,并对管理体系运行的总体绩效负责;组织制定、考核管理体系的绩效测量指标;组织实施安全管理体系落地执行,并向最高管理者及管理者代表报告管理体系总体运行情况。2022/12/22安全执行经理职责为管理者代表任命管理体系2022/12/30安全管理员职责贯彻、执行信息安全管理体系文件要求;制定信息安全管理规范及策略;推进、落实信息安全管理工作;负责信息安全管理的日常管理、安全检查以及组织协调问题整改工作;组织、实施信息安全相关培训工作;信息安全事件的组织协调工作;其他信息安全管理相关的工作。2022/12/22安全管理员职责贯彻、执行信息安全管理体系2022/12/30信息安全员职责具体落实信息安全管理体系文件要求;制定信息系统安全的技术性方案;推进、落实信息安全技术研发工作;负责信息系统安全的日常检查及整改落实工作;安全测试、安全技术培训的实施工作;信息安全事件的应急处置工作;其他信息安全技术相关的工作。2022/12/22信息安全员职责具体落实信息安全管理体系文2022/12/30质量监督员职责根据符合性要求,定期开展检查工作;制定持续改进计划,并定期修订、评审体系文件;制定内审与管审计划,定期开展审核工作;组织相关人员定期开展信息安全检查工作;制定符合性、内审与管审、安全检查等相关报告,并上报安全执行经理;其他持续改进相关的工作。2022/12/22质量监督员职责根据符合性要求,定期开展检2022/12/30体系化安全管理流程管理办法管理细则指导执行记录检查评估绩效考核做什么?怎么做?落地做没做?做得好不好?做得更好改进2022/12/22体系化安全管理流程管理办法管理细则指导执2022/12/30体系化安全管理实例(一)2022/12/22体系化安全管理实例(一)2022/12/30体系化安全管理实例(二)2022/12/22体系化安全管理实例(二)2022/12/30精细化安全管理的一点想法安全管理架构精细化成立安全作战实验室安全作战实验室安全技术研发组安全管理组安全测试组安全事件应急组岗位职责精细化划分安全技术研发、安全管理、安全测试、事件应急方面的岗位,并配备相应的人员管理内容精细化细化环境、系统、网络、应用、数据、人员、外包等安全管理内容,增加安全方面的应急预案、演练安全管理工具辅助根据管理体系文件和成熟的安全管理经验,结合公司实际管理情况,自主开发或采购自动化管理工具辅助2022/12/22精细化安全管理的一点想法安全管理架构精细2022/12/30思考一下

还有哪些安全管理问题

还有哪些安全管理模式及方法2022/12/22思考一下还有哪些安全管理问题还有2022/12/302022/12/22演讲完毕,谢谢观看!演讲完毕,谢谢观看!信息安全培训课程——安全管理实践SecurityTeam开源改变世界信息安全培训课程——安全管理实践开源改变世界2022/12/30内容提纲安全管理实践安全管理概述背景介绍安全管理现状分析管理组织架构案例IT安全管理实践面临的问题及挑战安全管理体系回顾体系化安全管理模式安全管理案例场景体系文件建立安全管理架构及人员职责体系化、精细化安全管理2022/12/22内容提纲安全管理实践安全管理背景介绍安全2022/12/30一安全管理概述2022/12/22一安全管理概述2022/12/30背景介绍技术措施需要配合正确的使用才能发挥作用假如你把钥匙落在锁眼上呢?保险柜就一定安全吗?2022/12/22背景介绍技术措施需要配合正确的使用才能发2022/12/30背景介绍3G!4G精心设计的网络防御体系,因违规外连形同虚设防火墙能解决这样的问题吗?2022/12/22背景介绍3G!4G精心设计的网络防御体系2022/12/30面临的问题及挑战最高管理层对信息安全的重视和支持力度不够缺乏明确的信息安全方针组织架构及职责不清晰专职人员数量及经验不足安全管理体系不完善安全管理措施落实不到位重技术轻管理的错误思想。。。。。。2022/12/22面临的问题及挑战最高管理层对信息安全的重体系化安全管理模式依据安全管理体系标准参考安全管理实践经验结合本单位实际管理情况建立安全管理体系实施体系化安全管理2022/12/30体系化安全管理模式依据安全管理体系标准2022/12/222022/12/30体系整体框架回顾安全管理体系是PDCA动态持续改进的一个循环体2022/12/22体系整体框架回顾安全管理体系是PDCA动2022/12/30体系文件结构回顾58明确方针、定义架构岗位人员、职责清晰管理有方、重在执行

记录四阶执行记录和报告-规章-制度-流程二阶流程策略、制度管理细则操作规程计划、表格、报告、模板三阶职能组职能组职能组职能组操作规范1操作规范2操作规范3操作规范4关键岗位4关键岗位3关键岗位2关键岗位1样例总纲一阶目标、范围、承诺、责任等2022/12/22体系文件结构回顾9明确方针、定义架构2022/12/30某银行管理组织架构(一)2022/12/22某银行管理组织架构(一)2022/12/30某银行管理组织架构(二)办公室市场营销部营运管理部营业部分行职能部门风险管理部综合管理部财务会计部零售银行部企业金融部保卫部2022/12/22某银行管理组织架构(二)办公室市场营销部2022/12/30某银行管理组织架构(三)支行行长主抓全面工作副行长(主抓营销)副行长(主抓核算)副行长(主抓管理、服务)对私客户经理岗对私柜员岗对私柜员岗对私柜员岗个人业务顾问对私柜员岗对公客户经理岗对公柜员岗对公柜员岗行长助理协助行长处理日常工作2022/12/22某银行管理组织架构(三)支行行长副行长副2022/12/30二IT安全管理实践2022/12/22二IT安全管理实践分行A2022/12/30安全管理现状分析总行分行B支行A支行B支行C支行D支行E支行F信息科技管理委员会设信息安全领导小组信息科技部设信息安全管理小组安全管理小组设安全管理员安全保卫部设保安员分行综管部设专职/兼职安全员分行保卫部设保安员支行设兼职安全员支行设保安员专职人员数量职责是否清晰体系是否完善制度是否落地自上而下OR自下而上分行A2022/12/22安全管理现状分析总行分行B支行A支体系文件2022/12/30场景一:虚拟的管理架构我们设立安全管理小组负责全面的安全管理工作安全管理职责明确安全管理架构健全配备足够的人员安全管理体系完善哦,看起来好厉害的样子!那么这个小组具体是哪个部门?管理架构都由哪些部门和岗位组成?

。。。。。体系文件2022/12/22场景一:虚拟的管理架构我们设立安2022/12/30场景二:名为领导实为员工小王,桌管系统安装部署怎么样了?领导,我接电话呢,你问问厂商。小王,已经部署到XXX分行了,你去分行安装下客户端。领导,我忙别的呢,你去吧。小王,XXX分行客户端安装完了,你去控制台看看上线没?领导,还是你去吧,我有个材料要写。领导,我明天请假,还是你写吧。你桌管的合同还没写呢,明天给我。2022/12/22场景二:名为领导实为员工小王,桌管系统安2022/12/30场景三:名为员工实为领导

小李,这事就交给你了,你抓紧办。

领导,跟您汇报下安全管理工作,目前,各部门不是太配合,请求领导组织协调下。

可是,领导,您能帮联系下各部门领导不?否则我的工作不好开展。

你打电话就说我说的,让他们积极配合。

领导,年度信息安全规划和年终工作报告我写不了,涉及总体架构和全面工作情况,我不是很了解还是您写吧。

小李,你是安全管理岗,专业能力强,所有信息安全工作都由你负责。2022/12/22场景三:名为员工实为领导小李,这事2022/12/30场景四:专职人员少

恩?系统、网络、应用、数据、资产、终端等安全管理情况呢?

领导,跟您汇报下本周工作,目前,按体系文件要求,环境安全管理、人员安全管理工作正常。

领导,我就一个人,这么多管理工作,我一下子做不过来。

这怎么行,安全管理工作很重要。

领导,我一个人能力有限,工作只能串行逐步推进。

小强,你作为公司的员工,思想得有觉悟,要有奉献精神,时间不够可以加班做。2022/12/22场景四:专职人员少恩?系统、网2022/12/30场景五:职责不明确

小张,某业务部门要上套系统,你去参会,从安全技术防护、安全产品部署、安全测试方面提出需求建议

啊!领导,这些我不是特别懂。

领导,我只是安全管理职责,安全技术、安全产品、安全测试不在我职责范围内,我怕做不好。

那怎么行,这些都是信息安全相关的,都由你负责。

。。。。。

小张,现在公司需要专业的全能型人才,你去吧。2022/12/22场景五:职责不明确小张,某业务部门2022/12/30场景六:体系不完善

哦,制度体系很庞大,出现散乱的情况很正常,至于缺少的制度,小刘,你上网找找补充进去就行了

领导,跟您汇报下工作,通过风险检查发现公司的制度有些散乱,而且缺少一些方面的制度约束。

啊!领导,这不好吧,别的制度只能参考,与我公司的实际情况不一样,我建议依据国内外标准和行业最佳实践,并结合我公司实际情况,建立一套完善的安全管理体系。

小刘,你的想法是好的,可现在公司最重要的是拓展业务,制度完不完善不重要。

没有一个完善的体系,怎么管理这么庞大的组织?如何相互协调配合?职责都不明确,怎么给业务拓展提供保障2022/12/22场景六:体系不完善哦,制度体系很庞2022/12/30场景七:制度不落地

哦?你说的意思是你的工作没有好好做是吧?

领导,跟您汇报下工作,我们现在的制度体系还没有相应的人员去推进落地,仍存在于纸面化。

领导,不是这样的,我已经很尽心去做了,只不过我一个人确实能力有限,目前,环境安全、人员安全、系统安全、网络安全管理已落实相关工作,可其他方面确实没那么多精力。

小陈,安全管理工作公司领导非常重视,安全无小事,尤其是我们保障部门。

领导,你说的我都明白,可我确实没有更好的办法,实在不行我多加点班!

好的,小陈我相信你,努力提升,一定要将制度落地,做好本职工作。2022/12/22场景七:制度不落地哦?你说的意思是2022/12/30场景八:重技术轻管理

哦?具体是哪方面?

领导,我觉得我们安全管理工作还是没有完全展开。

领导,我们对网络安全、系统安全、终端安全、数据安全等方面的管理投入还有所不足。

什么意思?我们上了IDS、IPS、防火墙、WAF、安全审计、抗DDOS、桌管、脱敏这么多设备设施。

可是领导,这些设备具体情况,我们并没有专人详细去看,组织人员去分析啊!

好了,小赵,我们部署了这么多技术产品防护,管理稍差点没什么。2022/12/22场景八:重技术轻管理哦?具体是哪方2022/12/30一种体系文件框架体系文件总纲人员安全管理资产安全管理访问控制管理环境安全管理系统和网络安全管理数据安全管理终端安全管理开发安全管理外包安全管理安全事件管理符合性管理持续改进管理2022/12/22一种体系文件框架体系文件总纲人员安全管理2022/12/30总纲文件结构体系管理总纲文件(一阶)体系管理者代表任命书(三阶)安全质量负责人任命书(三阶)安全人员岗位信息表(三阶)人员角色职责对应表(三阶)安全管理架构及岗位职责文件(二阶)体系适用性声明(三阶)体系术语定义表(三阶)总纲2022/12/22总纲文件结构体系管理总纲文件(一阶)体系2022/12/30人员安全管理文件结构人员安全管理员工安全管理办法(二阶)外来人员安全管理办法(二阶)外来人员安全管理实施细则(三阶)员工安全管理实施细则(三阶)人员培训管理实施细则(三阶)人员培训管理流程图(三阶)安全培训记录表(三阶)员工保密协议(三阶)员工背景调查表(三阶)员工离职申请表(三阶)员工离职工作交接及权限回收表(三阶)外来人员驻场申请表(三阶)外来人员保密协议(三阶)外来人员背景调查表(三阶)外来人员离场申请表(三阶)外来人员离场工作交接及权限回收表(三阶)2022/12/22人员安全管理文件结构人员安全管理员工安全2022/12/30资产安全管理文件结构资产安全管理资产安全管理办法(二阶)资产安全管理实施细则(三阶)资产处置记录表(三阶)资产登记标识卡(三阶)信息资产台账(三阶)资产申请审批表(三阶)资产交付使用记录表(三阶)资产维修申请审批表(三阶)资产分类分级清单(三阶)外部服务商保密协议(三阶)介质安全管理实施细则(三阶)介质领用\归还记录表(三阶)介质抽检记录表(三阶)介质转储记录表(三阶)介质清理\销毁记录表(三阶)2022/12/22资产安全管理文件结构资产安全管理资产安全2022/12/30访问控制管理文件结构访问控制管理访问控制管理办法(二阶)访问控制管理实施细则(三阶)机密资源管理实施细则(三阶)机密资源清单(三阶)机密资源使用审批表(三阶)机密资源销毁审批表(三阶)机密资源交接表(三阶)用户账号权限管理清单(三阶)账号权限开通使用审批表(三阶)用户账号权限审核表(三阶)特权用户使用审批表(三阶)用户账号权限管理记录表(三阶)账号操作审查表(三阶)网络访问管理记录表(三阶)正版授权软件清单(三阶)授权软件安装审批记录(三阶)2022/12/22访问控制管理文件结构访问控制管理访问控制2022/12/30环境安全管理文件结构环境安全管理环境安全管理办法(二阶)办公区安全管理实施细则(三阶)机房环境安全管理实施细则(三阶)办公环境安检记录表(三阶)办公环境物品出入审批表(三阶)办公环境施工审批表(三阶)外来人员进出机房审批表(三阶)机房出入登记表(三阶)机房物品出入审批记录表(三阶)机房环境安检记录表(三阶)环境安全分析报告(三阶)机房环境施工审批表(三阶)2022/12/22环境安全管理文件结构环境安全管理环境安全2022/12/30系统和网络安全管理文件结构系统和网络安全管理系统和网络安全管理办法(二阶)系统与网络安全管理实施细则(三阶)漏洞管理实施细则(三阶)防病毒管理实施细则(三阶)系统和网络安全分析报告(三阶)网络安全域划分说明(三阶)安全基线配置文档(三阶)系统和网络安全评审记录表(三阶)系统和网络安检记录表(三阶)入侵检测管理实施细则(三阶)安全性测试计划及记录(三阶)漏洞分析报告(三阶)补丁更新测试记录、报告(三阶)测试申请审批记录表(三阶)入侵事件处置记录(三阶)入侵行为分析报告(三阶)病毒查杀记录表(三阶)病毒分析报告(三阶)2022/12/22系统和网络安全管理文件结构系统和网络安全2022/12/30数据安全管理文件结构数据安全管理数据安全管理办法(二阶)数据安全管理实施细则(三阶)日志管理实施细则(三阶)数据清理、销毁记录表(三阶)数据脱敏记录表(三阶)数据迁移指导手册(三阶)数据查询使用审批表(三阶)外部查询使用数据保密协议(三阶)数据转储、迁移、测试验证记录表(三阶)数据备份、恢复、测试记录表(三阶)数据安检记录表(三阶)数据安全分析报告(三阶)日志审查记录表(三阶)日志审计分析报告(三阶)2022/12/22数据安全管理文件结构数据安全管理数据安全2022/12/30终端安全管理文件结构终端安全管理终端安全管理办法(二阶)终端安全管理实施细则(三阶)终端安检记录表(三阶)终端维修申请审批表(三阶)终端报废申请审批表(三阶)终端接入申请审批表(三阶)终端出入申请审批表(三阶)终端回收记录表(三阶)终端使用处置记录表(三阶)终端安全分析报告(三阶)2022/12/22终端安全管理文件结构终端安全管理终端安全2022/12/30开发安全管理文件结构开发安全管理开发安全管理办法(二阶)开发项目安全管理实施细则(三阶)系统开发安全分析报告(三阶)安全性测试计划(三阶)安全性测试报告(三阶)软件开发安全需求说明书(三阶)安全技术需求确认表(三阶)系统开发安全检查记录表(三阶)安全性测试记录表(三阶)安全需求评审记录表(三阶)2022/12/22开发安全管理文件结构开发安全管理开发安全2022/12/30外包安全管理文件结构外包安全管理外包安全管理办法(二阶)外包安全管理实施细则(三阶)外包商服务清单(三阶)外包商调查评价表(三阶)年度外包商评分表(三阶)外包商风险评估报告(三阶)外包商分类分级清单(三阶)外包商交接记录表(三阶)外包商评价标准(三阶)外包商安全审计报告(三阶)外包商保密协议(三阶)外包商安全分析报告(三阶)外包商安全检查记录表(三阶)2022/12/22外包安全管理文件结构外包安全管理外包安全2022/12/30安全事件管理文件结构安全事件管理安全事件管理办法(二阶)安全事件管理实施细则(三阶)安全事件分析报告(三阶)安全事件管理流程图(三阶)安全事件记录表(三阶)安全事件分类分级清单(三阶)安全事件处置分析报告(三阶)安全事件检查记录表(三阶)2022/12/22安全事件管理文件结构安全事件管理安全事件2022/12/30符合性管理文件结构符合性管理符合性管理办法(二阶)符合性管理实施细则(三阶)符合性分析报告(三阶)法律法规清单(三阶)符合性检查记录(三阶)符合性管理计划(三阶)2022/12/22符合性管理文件结构符合性管理符合性管理办2022/12/30持续改进管理文件结构持续改进管理持续改进管理办法(二阶)持续改进管理实施细则(三阶)内审与管审管理办法(二阶)安全检查管理办法(二阶)内审与管审管理实施细则(三阶)安全检查管理实施细则(三阶)持续改

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论