信息安全培训教材(48页)

小刘，你的想法是好 的，可现在公司最重要 的是拓展业务，制度完 不完善不重要。
Security Team
一
安全管理概述
2020/3/26
背景介绍
❖ 技术措施需要配合正确的使用才能发挥 作用
❖ 假如你把钥匙落在锁眼上呢？
保险柜就一定安全吗？
2020/3/26
Security Team
背景介绍
Security Team
防火墙能解决这样的问题吗？
内网主机
2020/3/26
防火墙
防火墙
精心设计的网络防
Internet
御体系，因违规外
wk.baidu.com
连形同虚设
面临的问题及挑战
❖ 最高管理层对信息安全的重视和支持力度不够 ❖ 缺乏明确的信息安全方针 ❖ 组织架构及职责不清晰 ❖ 专职人员数量及经验不足 ❖ 安全管理体系不完善 ❖ 安全管理措施落实不到位 ❖ 重技术轻管理的错误思想 ❖ 。。。。。。
领导，跟您汇报下安全管 理工作，目前，各部门不是太配 合，请求领导组织协调下。
你打电话就说我说的，
可是，领导，您能帮联系
让他们积极配合。
下各部门领导不？否则我的工作
不好开展。
小李，你是安全管理 岗，专业能力强，所有 信息安全工作都由你负 责。
领导，年度信息 安全规划和年终工作 报告我写不了，涉及 总体架构和全面工作 情况，我不是很了解 还是您写吧。
小张，现在公司需要专 业的全能型人才，你去 吧。
。。。。。
2020/3/26
场景六:体系不完善
Security Team
哦，制度体系很庞大，出现 散乱的情况很正常，至于缺少的 制度，小刘，你上网找找补充进 去就行了
领导，跟您汇报下工作，通过 风险检查发现公司的制度有些散 乱，而且缺少一些方面的制度约 束。
对私柜员岗 对公柜员岗
对私柜员岗 对公柜员岗
2020/3/26
Security Team
二
IT安全管理实践
2020/3/26
安全管理现状分析
Security Team
总行
专职人员数量
分行A
分行B
职责是否清晰
体系是否完善
制度是否落地
自上而下OR自下而上
❖ 信息科技管理委员会设信息安全领导小组 ❖ 信息科技部设信息安全管理小组 ❖ 安全管理小组设安全管理员 ❖ 安全保卫部设保安员
开源信改变息世界安全培训课程
——安全管理实践
SecurityTeam
内容提纲
安全管理 概述
安全管理实践 IT安全管理 实践
2020/3/26
Security Team
背景介绍 面临的问题及挑战 体系化安全管理模式 安全管理体系回顾 管理组织架构案例 安全管理现状分析 安全管理案例场景
体系文件建立 安全管理架构及人员职责 体系化、精细化安全管理
2020/3/26
体系文件结构回顾
一
阶
总纲
- 规章
二 阶
- 制度 - 流程
目标、范围、承诺、责任等
Security Team
流程
职能组
职能组
策略、制度
职能组
职能组
–管理细则 –操作规程 –计划、表格、报告、模板
三 阶
1
操作规范
1
关键岗位
2
操作规范
2
关键岗位
3
操作规范
3
关键岗位
记录
四 阶
执行记录和报告
综 合 管 理 部
财 务 会 计 部
零 售 银 行 部
企
业
保
金
卫
融
部
部
2020/3/26
某银行管理组织架构（三）
Security Team
支行行长 主抓全面工作
行长助理 协助行长处理日常工作
副行长 （主抓营销）
副行长 （主抓核算）
副行长 （主抓管理、服务）
对私客户经理岗
对私柜员岗
对私柜员岗
个人业务顾问 对公客户经理岗
2020/3/26
场景四:专职人员少
Security Team
恩？系统、网络、应用、数 据、资产、终端等安全管理情况 呢？
领导，跟您汇报下本周工作， 目前，按体系文件要求，环境安 全管理、人员安全管理工作正常。
这怎么行，安全管理工
领导，我就一个人，这么多管
作很重要。
理工作，我一下子做不过来。
小强，你作为公司的 员工，思想得有觉悟， 要有奉献精神，时间不 够可以加班做。
明确方针、定义架构
岗位人员、职责清晰
管理有方、重在执行
4
操作规范
4
关键岗位
9
2020/3/26
某银行管理组织架构（一）
Security Team
2020/3/26
某银行管理组织架构（二）
分行职能部门
Security Team
办 公 室
市 场 营 销 部
风 险 管 理 部
营 运 管 理 部
营 业 部
Security Team
2020/3/26
体系化安全管理模式
依据 安全管理体系标准 参考 安全管理实践经验 结合 本单位实际管理情况 建立 安全管理体系 实施 体系化安全管理
2020/3/26
Security Team
体系整体框架回顾
Security Team
安全管理体系是PDCA动态持续改进的一个循环体
。 。 。 。 。
哦，看起来好厉害的样子！ 那么这个小组具体是哪个部门? 管理架构都由哪些部门和岗位组成?
体系文件
2020/3/26
场景二:名为领导实为员工
Security Team
装小 部王 署， 怎桌 么管 样系 了统 ？安
XXX XXX
制端小 台安王 看装， 看完 上了 线，分 没你行 ？去客
控户
行小 安王 装分， 下行已 客了经 户，部 端你署 。去到
分
你桌管的合同还没写 呢，明天给我。
领导，我接电话呢， 你问问厂商。
领导，我忙别的呢， 你去吧。
领导，还是你去吧， 我有个材料要写。
领导，我明天请假， 还是你写吧。
2020/3/26
场景三:名为员工实为领导
Security Team
小李，这事就交给你了，你抓 紧办。
❖ 分行综管部设专职/兼职安全员 ❖ 分行保卫部设保安员
支行A
支行B
2020/3/26
支行C
支行D
支行E
支行F
❖ 支行设兼职安全员 ❖ 支行设保安员
场景一:虚拟的管理架构
Security Team
我们设立安全管理小组 负责全面的安全管理工作 安全管理架构健全 安全管理职责明确 配备足够的人员 安全管理体系完善
领导，我一个人 能力有限，工作只能 串行逐步推进。
2020/3/26
场景五:职责不明确
Security Team
小张，某业务部门要上套系 统，你去参会，从安全技术防护、 安全产品部署、安全测试方面提 出需求建议
那怎么行，这些都是信 息安全相关的，都由你 负责。
啊！领导，这些我不是特别懂。
领导，我只是安全管理职责， 安全技术、安全产品、安全测试 不在我职责范围内，我怕做不好。