这本书讲得其实很细,很0,很适合接触安全面不宽、时间不长的从业者,根据自己的工作做了一点点笔记。
如何要HC?
其实我一直觉得准备好理由,比如工作计划、人力配置等是常规操作,但是对于一些初入职场不就的工作来说,这块还是欠缺的。
- 做好工作计划表,人力配置最好精确到0.1
- 对比往年的工作量,可以精准到人天,今年的工作量增加在哪?人力配置为什么多要?
- 分析目前的形式,对领导可能问的问题有准备
SRC作用
- 多招一个安全工程师的成本远大于开设SRC发放奖励,并且SRC是按结果付费
- 众人拾柴火焰高
- 其实还有漏洞发散吧,自己总比外人了解业务,类比提前发现,减少支出。(不过这不带表内部已知)
SRC财税问题
其实从财务角度来看,无论支付现金还是礼品奖励均需要缴税,那其实缴税也可以有很多种途径:
- 劳务:需要签订劳务合同(可以电子,具体形式可咨询财务),计入年度个税核算范畴。
- 个人偶然所得:公司需帮忙缴纳25%的个税,即发放100元,需帮缴25元个税,偶然所得税不计入年度个税核算范畴。
- 第三方代发:需第三方公司签订合同,由第三方统一代付款,不需要计算小项,打款比较简单,计入年度个税核算范畴。
培训指标考核
- 安全事件频率前后对比
- 钓鱼邮件识别率前后对比
- 安全咨询数量前后对比
- 安全插件使用情况前后对比
- 漏洞数量前后对比
其实上述指标其实多少存在些问题,因为人员在不断迭代,保证指标不变因素是很难的,当参考吧。
权限管理
1.发布制度,明确分配要求、审批流程、惩处标准
- 遵守“最小授权”原则
2.权限梳理,简历岗位角色权限清单
- 重点关注敏感数据或影响较大的权限
- 表1:账户、岗位、角色和权限对应表——检查权限是否合理并推进后续整改工作
- 表2:岗位、角色和共性权限的对应表——权限初始化分配、自动化检查、定期审计和审阅工作。
3.推进账户及权限的集中管理,完善日志记录和存储能力
- 域控
- SSO,分级认证
4.自动监控与纠正措施(前提是2的两张表要有)
5.定期审计与审阅机制
出现于合规问题交叉的执行风险和技术工作,谁来推动工作
- 数据安全、业务安全或基础安全这些跟技术结合更机密的团队接受。
- 合规团队更侧重于管理和协调
- 有利于合规职能团队的独立性,保证评估和审计结果的公正性和可信度
还有些关于加密措施,下一篇总结。