信息安全管理实践

信息安全培训课程——安全管理实践SecurityTeam开源改变世界目前一页\总数四十八页\编于十一点2023/5/15内容提纲安全管理实践安全管理概述背景介绍安全管理现状分析管理组织架构案例IT安全管理实践面临的问题及挑战安全管理体系回顾体系化安全管理模式安全管理案例场景体系文件建立安全管理架构及人员职责体系化、精细化安全管理目前二页\总数四十八页\编于十一点2023/5/15一安全管理概述目前三页\总数四十八页\编于十一点2023/5/15背景介绍技术措施需要配合正确的使用才能发挥作用假如你把钥匙落在锁眼上呢？保险柜就一定安全吗？目前四页\总数四十八页\编于十一点2023/5/15背景介绍3G!4G精心设计的网络防御体系，因违规外连形同虚设防火墙能解决这样的问题吗？目前五页\总数四十八页\编于十一点2023/5/15面临的问题及挑战最高管理层对信息安全的重视和支持力度不够缺乏明确的信息安全方针组织架构及职责不清晰专职人员数量及经验不足安全管理体系不完善安全管理措施落实不到位重技术轻管理的错误思想。。。。。。目前六页\总数四十八页\编于十一点体系化安全管理模式依据安全管理体系标准参考安全管理实践经验结合本单位实际管理情况建立安全管理体系实施体系化安全管理2023/5/15目前七页\总数四十八页\编于十一点2023/5/15体系整体框架回顾安全管理体系是PDCA动态持续改进的一个循环体目前八页\总数四十八页\编于十一点2023/5/15体系文件结构回顾9明确方针、定义架构岗位人员、职责清晰管理有方、重在执行

记录四阶执行记录和报告-规章-制度-流程二阶流程策略、制度管理细则操作规程计划、表格、报告、模板三阶职能组职能组职能组职能组操作规范1操作规范2操作规范3操作规范4关键岗位4关键岗位3关键岗位2关键岗位1样例总纲一阶目标、范围、承诺、责任等目前九页\总数四十八页\编于十一点2023/5/15某银行管理组织架构（一）目前十页\总数四十八页\编于十一点2023/5/15某银行管理组织架构（二）办公室市场营销部营运管理部营业部分行职能部门风险管理部综合管理部财务会计部零售银行部企业金融部保卫部目前十一页\总数四十八页\编于十一点2023/5/15某银行管理组织架构（三）支行行长主抓全面工作副行长（主抓营销）副行长（主抓核算）副行长（主抓管理、服务）对私客户经理岗对私柜员岗对私柜员岗对私柜员岗个人业务顾问对私柜员岗对公客户经理岗对公柜员岗对公柜员岗行长助理协助行长处理日常工作目前十二页\总数四十八页\编于十一点2023/5/15二IT安全管理实践目前十三页\总数四十八页\编于十一点分行A2023/5/15安全管理现状分析总行分行B支行A支行B支行C支行D支行E支行F信息科技管理委员会设信息安全领导小组信息科技部设信息安全管理小组安全管理小组设安全管理员安全保卫部设保安员分行综管部设专职/兼职安全员分行保卫部设保安员支行设兼职安全员支行设保安员专职人员数量职责是否清晰体系是否完善制度是否落地自上而下OR自下而上目前十四页\总数四十八页\编于十一点体系文件2023/5/15场景一:虚拟的管理架构我们设立安全管理小组负责全面的安全管理工作安全管理职责明确安全管理架构健全配备足够的人员安全管理体系完善哦，看起来好厉害的样子！那么这个小组具体是哪个部门?管理架构都由哪些部门和岗位组成?

。。。。。目前十五页\总数四十八页\编于十一点2023/5/15场景二:名为领导实为员工小王，桌管系统安装部署怎么样了？领导，我接电话呢，你问问厂商。小王，已经部署到XXX分行了，你去分行安装下客户端。领导，我忙别的呢，你去吧。小王，XXX分行客户端安装完了，你去控制台看看上线没？领导，还是你去吧，我有个材料要写。领导，我明天请假，还是你写吧。你桌管的合同还没写呢，明天给我。目前十六页\总数四十八页\编于十一点2023/5/15场景三:名为员工实为领导

小李，这事就交给你了，你抓紧办。

领导，跟您汇报下安全管理工作，目前，各部门不是太配合，请求领导组织协调下。

可是，领导，您能帮联系下各部门领导不？否则我的工作不好开展。

你打电话就说我说的，让他们积极配合。

领导，年度信息安全规划和年终工作报告我写不了，涉及总体架构和全面工作情况，我不是很了解还是您写吧。

小李，你是安全管理岗，专业能力强，所有信息安全工作都由你负责。目前十七页\总数四十八页\编于十一点2023/5/15场景四:专职人员少

恩？系统、网络、应用、数据、资产、终端等安全管理情况呢？

领导，跟您汇报下本周工作，目前，按体系文件要求，环境安全管理、人员安全管理工作正常。

领导，我就一个人，这么多管理工作，我一下子做不过来。

这怎么行，安全管理工作很重要。

领导，我一个人能力有限，工作只能串行逐步推进。

小强，你作为公司的员工，思想得有觉悟，要有奉献精神，时间不够可以加班做。目前十八页\总数四十八页\编于十一点2023/5/15场景五:职责不明确

小张，某业务部门要上套系统，你去参会，从安全技术防护、安全产品部署、安全测试方面提出需求建议

啊！领导，这些我不是特别懂。

领导，我只是安全管理职责，安全技术、安全产品、安全测试不在我职责范围内，我怕做不好。

那怎么行，这些都是信息安全相关的，都由你负责。

。。。。。

小张，现在公司需要专业的全能型人才，你去吧。目前十九页\总数四十八页\编于十一点2023/5/15场景六:体系不完善

哦，制度体系很庞大，出现散乱的情况很正常，至于缺少的制度，小刘，你上网找找补充进去就行了

领导，跟您汇报下工作，通过风险检查发现公司的制度有些散乱，而且缺少一些方面的制度约束。

啊！领导，这不好吧，别的制度只能参考，与我公司的实际情况不一样，我建议依据国内外标准和行业最佳实践，并结合我公司实际情况，建立一套完善的安全管理体系。

小刘，你的想法是好的，可现在公司最重要的是拓展业务，制度完不完善不重要。

没有一个完善的体系，怎么管理这么庞大的组织？如何相互协调配合？职责都不明确，怎么给业务拓展提供保障目前二十页\总数四十八页\编于十一点2023/5/15场景七:制度不落地

哦？你说的意思是你的工作没有好好做是吧？

领导，跟您汇报下工作，我们现在的制度体系还没有相应的人员去推进落地，仍存在于纸面化。

领导，不是这样的，我已经很尽心去做了，只不过我一个人确实能力有限，目前，环境安全、人员安全、系统安全、网络安全管理已落实相关工作，可其他方面确实没那么多精力。

小陈，安全管理工作公司领导非常重视，安全无小事，尤其是我们保障部门。

领导，你说的我都明白，可我确实没有更好的办法，实在不行我多加点班！

好的，小陈我相信你，努力提升，一定要将制度落地，做好本职工作。目前二十一页\总数四十八页\编于十一点2023/5/15场景八:重技术轻管理

哦？具体是哪方面？

领导，我觉得我们安全管理工作还是没有完全展开。

领导，我们对网络安全、系统安全、终端安全、数据安全等方面的管理投入还有所不足。

什么意思？我们上了IDS、IPS、防火墙、WAF、安全审计、抗DDOS、桌管、脱敏这么多设备设施。

可是领导，这些设备具体情况，我们并没有专人详细去看，组织人员去分析啊！

好了，小赵，我们部署了这么多技术产品防护，管理稍差点没什么。目前二十二页\总数四十八页\编于十一点2023/5/15一种体系文件框架体系文件总纲人员安全管理资产安全管理访问控制管理环境安全管理系统和网络安全管理数据安全管理终端安全管理开发安全管理外包安全管理安全事件管理符合性管理持续改进管理目前二十三页\总数四十八页\编于十一点2023/5/15总纲文件结构体系管理总纲文件(一阶)体系管理者代表任命书(三阶)安全质量负责人任命书(三阶)安全人员岗位信息表(三阶)人员角色职责对应表(三阶)安全管理架构及岗位职责文件(二阶)体系适用性声明(三阶)体系术语定义表(三阶)总纲目前二十四页\总数四十八页\编于十一点2023/5/15人员安全管理文件结构人员安全管理员工安全管理办法(二阶)外来人员安全管理办法(二阶)外来人员安全管理实施细则(三阶)员工安全管理实施细则(三阶)人员培训管理实施细则(三阶)人员培训管理流程图(三阶)安全培训记录表(三阶)员工保密协议(三阶)员工背景调查表(三阶)员工离职申请表(三阶)员工离职工作交接及权限回收表(三阶)外来人员驻场申请表(三阶)外来人员保密协议(三阶)外来人员背景调查表(三阶)外来人员离场申请表(三阶)外来人员离场工作交接及权限回收表(三阶)目前二十五页\总数四十八页\编于十一点2023/5/15资产安全管理文件结构资产安全管理资产安全管理办法(二阶)资产安全管理实施细则(三阶)资产处置记录表(三阶)资产登记标识卡(三阶)信息资产台账(三阶)资产申请审批表(三阶)资产交付使用记录表(三阶)资产维修申请审批表(三阶)资产分类分级清单(三阶)外部服务商保密协议(三阶)介质安全管理实施细则(三阶)介质领用\归还记录表(三阶)介质抽检记录表(三阶)介质转储记录表(三阶)介质清理\销毁记录表(三阶)目前二十六页\总数四十八页\编于十一点2023/5/15访问控制管理文件结构访问控制管理访问控制管理办法(二阶)访问控制管理实施细则(三阶)机密资源管理实施细则(三阶)机密资源清单(三阶)机密资源使用审批表(三阶)机密资源销毁审批表(三阶)机密资源交接表(三阶)用户账号权限管理清单(三阶)账号权限开通使用审批表(三阶)用户账号权限审核表(三阶)特权用户使用审批表(三阶)用户账号权限管理记录表(三阶)账号操作审查表(三阶)网络访问管理记录表(三阶)正版授权软件清单(三阶)授权软件安装审批记录(三阶)目前二十七页\总数四十八页\编于十一点2023/5/15环境安全管理文件结构环境安全管理环境安全管理办法(二阶)办公区安全管理实施细则(三阶)机房环境安全管理实施细则(三阶)办公环境安检记录表(三阶)办公环境物品出入审批表(三阶)办公环境施工审批表(三阶)外来人员进出机房审批表(三阶)机房出入登记表(三阶)机房物品出入审批记录表(三阶)机房环境安检记录表(三阶)环境安全分析报告(三阶)机房环境施工审批表(三阶)目前二十八页\总数四十八页\编于十一点2023/5/15系统和网络安全管理文件结构系统和网络安全管理系统和网络安全管理办法(二阶)系统与网络安全管理实施细则(三阶)漏洞管理实施细则(三阶)防病毒管理实施细则(三阶)系统和网络安全分析报告(三阶)网络安全域划分说明(三阶)安全基线配置文档(三阶)系统和网络安全评审记录表(三阶)系统和网络安检记录表(三阶)入侵检测管理实施细则(三阶)安全性测试计划及记录(三阶)漏洞分析报告(三阶)补丁更新测试记录、报告(三阶)测试申请审批记录表(三阶)入侵事件处置记录(三阶)入侵行为分析报告(三阶)病毒查杀记录表(三阶)病毒分析报告(三阶)目前二十九页\总数四十八页\编于十一点2023/5/15数据安全管理文件结构数据安全管理数据安全管理办法(二阶)数据安全管理实施细则(三阶)日志管理实施细则(三阶)数据清理、销毁记录表(三阶)数据脱敏记录表(三阶)数据迁移指导手册(三阶)数据查询使用审批表(三阶)外部查询使用数据保密协议(三阶)数据转储、迁移、测试验证记录表(三阶)数据备份、恢复、测试记录表(三阶)数据安检记录表(三阶)数据安全分析报告(三阶)日志审查记录表(三阶)日志审计分析报告(三阶)目前三十页\总数四十八页\编于十一点2023/5/15终端安全管理文件结构终端安全管理终端安全管理办法(二阶)终端安全管理实施细则(三阶)终端安检记录表(三阶)终端维修申请审批表(三阶)终端报废申请审批表(三阶)终端接入申请审批表(三阶)终端出入申请审批表(三阶)终端回收记录表(三阶)终端使用处置记录表(三阶)终端安全分析报告(三阶)目前三十一页\总数四十八页\编于十一点2023/5/15开发安全管理文件结构开发安全管理开发安全管理办法(二阶)开发项目安全管理实施细则(三阶)系统开发安全分析报告(三阶)安全性测试计划(三阶)安全性测试报告(三阶)软件开发安全需求说明书(三阶)安全技术需求确认表(三阶)系统开发安全检查记录表(三阶)安全性测试记录表(三阶)安全需求评审记录表(三阶)目前三十二页\总数四十八页\编于十一点2023/5/15外包安全管理文件结构外包安全管理外包安全管理办法(二阶)外包安全管理实施细则(三阶)外包商服务清单(三阶)外包商调查评价表(三阶)年度外包商评分表(三阶)外包商风险评估报告(三阶)外包商分类分级清单(三阶)外包商交接记录表(三阶)外包商评价标准(三阶)外包商安全审计报告(三阶)外包商保密协议(三阶)外包商安全分析报告(三阶)外包商安全检查记录表(三阶)目前三十三页\总数四十八页\编于十一点2023/5/15安全事件管理文件结构安全事件管理安全事件管理办法(二阶)安全事件管理实施细则(三阶)安全事件分析报告(三阶)安全事件管理流程图(三阶)安全事件记录表(三阶)安全事件分类分级清单(三阶)安全事件处置分析报告(三阶)安全事件检查记录表(三阶)目前三十四页\总数四十八页\编于十一点2023/5/15符合性管理文件结构符合性管理符合性管理办法(二阶)符合性管理实施细则(三阶)符合性分析报告(三阶)法律法规清单(三阶)符合性检查记录(三阶)符合性管理计划(三阶)目前三十五页\总数四十八页\编于十一点2023/5/15持续改进管理文件结构持续改进管理持续改进管理办法(二阶)持续改进管理实施细则(三阶)内审与管审管理办法(二阶)安全检查管理办法(二阶)内审与管审管理实施细则(三阶)安全检查管理实施细则(三阶)持续改进分析报告(三阶)持续改进流程图(三阶)持续改进记录表(三阶)持续改进管理计划(三阶)持续改进跟踪记录表(三阶)内审与管审分析报告(三阶)内审与管审流程图(三阶)内审与管审检查记录表(三阶)内审与管审管理计划(三阶)内审与管审评审会议纪要(三阶)安全检查记录(三阶)安全检查计划/方案(三阶)安全检查报告(三阶)目前三十六页\总数四十八页\编于十一点2023/5/15安全管理架构目前三十七页\总数四十八页\编于十一点2023/5/15管理者代表职责总体协调、推动管理体系运行；分配管理体系具体人员岗位，为安全管理体系的落地实施和持续改进，协调提供所需资源；审批管理体系文件，以确保管理体系的计划、实施、监控、改进机制与管理体系方针、目标、法律法规要求保持一致；依据管理体系方针及总体目标，指导制定并审批体系运行绩效评价指标；推动安全管理体系的宣贯。目前三十八页\总数四十八页\编于十一点2023/5/15安全执行经理职责为管理者代表任命管理体系各岗位人员提供建议；组织制定并审核管理体系文件，制定信息安全发展规划，设计安全管理架构；推动管理体系各项活动有效执行和改进，并对管理体系运行的总体绩效负责；组织制定、考核管理体系的绩效测量指标；组织实施安全管理体系落地执行，并向最高管理者及管理者代表报告管理体系总体运行情况。目前三十九页\总数四十八页\编于十一点2023/5/15安全管理员职责贯彻、执行信息安全管理体系文件要求；制定信息安全管理规范及策略；推进、落实信息安全管理工作；负责信息安全管理的日常管理、安全检查以及组织协调问题整改工作；组织、实施信息安全相关培训工作；信息安全事件的组织协调工作；其他信息安全管理相关的工作。目前四十页\总数四十八页\编于十一点2023/5/15信息安全