重视信息安全规划设计,有序推进安全建设实践

admin 2022年9月21日12:12:48评论23 views字数 1884阅读6分16秒阅读模式
重视信息安全规划设计,有序推进安全建设实践


讲武堂,带兵者研究武学之所。今设“安恒信息安全咨询讲武堂”,与圈内人士共同聚焦、分享安全咨询领域的心得体会与实践经验。

本期聚焦安全开发建设必要性与开展方式,欢迎大家文末留言探讨。

前言


随着信息技术行业的不断发展,信息安全领域逐渐成为IT界中的重点。信息安全相关法律法规顶层设计不断完善、行业标准规范的密集出台,也显著提高了信息安全工作在机构、企业日常工作中的地位。

而外部日益复杂的安全形势与频发的各类安全事件,以及安全监管机构的强监管态势,也必然要求各类机构、企业一方面要满足安全合规符合性建设,一方面也要实现风险“看得见”、威胁“防得住”的根本性目标。“重视信息安全规划设计,有序推进安全建设实践”正在逐渐成为必选项。我们将从以下几点内容,来探讨如何逐步规划、落实安全设计。




安全战略方针的确立


信息安全工作与网络、运维、平台、业务各个部门之间存在较强的关联关系,安全规划与落地实践过程需要企业组织内部达成各项共识。所以安全规划工作首先要确立符合自身安全实际与安全目标的战略方针,作为贯穿信息安全工作的纲领性指引。



规划目标与实际安全需求相适应


信息安全的根本目标是保障IT架构、业务应用的安全与稳定,从而为业务战略的实现提供安全基础。安全规划的目标设定,要与业务系统的重要性与安全等级划分相匹配,依据对外提供的服务类型梳理实际面临的安全风险,转化为安全需求和目标,保证安全措施与安全需求之间适度、适配。

同时,业务服务模式的变化和IT基础设施的革新,必然带来新的风险。安全活动与业务应用、基础架构严格遵循同步规划、同步建设、同步使用的原则。



安全合规要素梳理与融合


安全合规是信息安全工作的底线,也是安全框架确立的基础。

随着国家、行业安全合规性标准要求不断完善,各类机构、企业要着重梳理相关安全标准要求,厘清之间的关系与定位,提取安全合规的细化要求进行分类与合并,例如强制性的必须满足、推荐性的选择性参考,形成安全合规图谱,作为安全规划的要素输入,确保未来安全工作在合规框架内推进,提高安全合规监管任务的响应效率。



重视信息安全规划设计,有序推进安全建设实践


//


扎实的安全调研准备


高效、准确的安全调研工作,是确保安全规划差距分析环节质量的基础,而安全规划的调研又强调合规、风险、威胁多视角现状信息的收集与挖掘,也包括业务侧、网络侧、运维侧、安全侧多场景流程机制梳理。

这就要求依据安全规划事项的周期、内部协作难易程度、对日常安全工作影响等方面,进行调研事项与内容的筛选,设计针对性的调研表,同时结合实际组织内部情况,采取线上、现场访谈,以及相关方案材料的审核等方式。



定义安全体系之间的关系


在整体安全规划框架内,包括提供安全管理支撑作用的安全管理体系,提供技术支撑能力的安全技术体系,实现安全治理与防护流程机制的安全运营体系。

在实际安全规划设计时,须明确三大体系之间的边界,使其在各自框架内形成清晰的逻辑架构,明确各自体系的重点与目标。信息安全的整体性特点,又要充分发挥三者之间互为支撑、互相促进的作用,形成完善的安全框架,以目标为导向发挥整体安全价值。



重视信息安全规划设计,有序推进安全建设实践


//


安全模型与安全实践的引入


合理的安全架构设计,是规划顺利落地实践与发挥效率效能的关键。以“三化六防”、平战结合为核心理念的安全实战方法论,以及网络杀伤链模型、自适应安全架构、攻击者战术与技巧、IATF信息保障技术框架等,均能为安全规划,尤其是技术架构和运营架构提供更强韧的安全防护要素输入,有效应对风险威胁。

另外,安全规划也要汲取同行业在信息安全建设方面的实践经验和理念思想,融入自身的安全框架设计,构建符合自身行业业务与安全属性的安全规划体系。



建立安全成熟度评估方法


在安全规划过程中,要建立针对风险威胁、资产安全治理、安全组织、运营指标等各维度的成熟度评估体系,可采用定性、定量相结合的方式,为不同成熟度级别的划分与衡量提供依据。

成熟度评估方法的确立,可为安全规划的过程、效果、风险点等提供科学的分析依据,不断进行优化与调整,最终确保安全规划逐步落地实践。



重视信息安全规划设计,有序推进安全建设实践



信息安全作为数字化时代企业组织的安全底座,需要以系统化、工程化的角度审视信息安全活动,注重安全规划顶层设计,科学指导当前和未来的安全落地实践,满足内外部安全需求,才能充分发挥应有的安全价值。

重视信息安全规划设计,有序推进安全建设实践

扫码咨询相关业务



重视信息安全规划设计,有序推进安全建设实践

往期精彩回顾




安恒信息重保无忧服务上线!重要保障时期,安全守护就靠它

2022-09-15

重视信息安全规划设计,有序推进安全建设实践

首家!获中国信通院《医疗物联网防护系统安全能力检验证书》

2022-09-14

重视信息安全规划设计,有序推进安全建设实践

今年网安周,我们把网络安全意识的火种带到了这些地方

2022-09-13

重视信息安全规划设计,有序推进安全建设实践


重视信息安全规划设计,有序推进安全建设实践

原文始发于微信公众号(安恒信息):重视信息安全规划设计,有序推进安全建设实践

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月21日12:12:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   重视信息安全规划设计,有序推进安全建设实践https://cn-sec.com/archives/1309676.html

发表评论

匿名网友 填写信息