muchener's blogs

读书笔记-企业信息安全管理从0到1

字数统计: 817阅读时长: 2 min
2021/06/02 Share

这本书讲得其实很细,很0,很适合接触安全面不宽、时间不长的从业者,根据自己的工作做了一点点笔记。

如何要HC?

其实我一直觉得准备好理由,比如工作计划、人力配置等是常规操作,但是对于一些初入职场不就的工作来说,这块还是欠缺的。

  • 做好工作计划表,人力配置最好精确到0.1
  • 对比往年的工作量,可以精准到人天,今年的工作量增加在哪?人力配置为什么多要?
  • 分析目前的形式,对领导可能问的问题有准备

SRC作用

  • 多招一个安全工程师的成本远大于开设SRC发放奖励,并且SRC是按结果付费
  • 众人拾柴火焰高
  • 其实还有漏洞发散吧,自己总比外人了解业务,类比提前发现,减少支出。(不过这不带表内部已知)

SRC财税问题

其实从财务角度来看,无论支付现金还是礼品奖励均需要缴税,那其实缴税也可以有很多种途径:

  • 劳务:需要签订劳务合同(可以电子,具体形式可咨询财务),计入年度个税核算范畴。
  • 个人偶然所得:公司需帮忙缴纳25%的个税,即发放100元,需帮缴25元个税,偶然所得税不计入年度个税核算范畴。
  • 第三方代发:需第三方公司签订合同,由第三方统一代付款,不需要计算小项,打款比较简单,计入年度个税核算范畴。

培训指标考核

  • 安全事件频率前后对比
  • 钓鱼邮件识别率前后对比
  • 安全咨询数量前后对比
  • 安全插件使用情况前后对比
  • 漏洞数量前后对比

其实上述指标其实多少存在些问题,因为人员在不断迭代,保证指标不变因素是很难的,当参考吧。

权限管理

1.发布制度,明确分配要求、审批流程、惩处标准

  • 遵守“最小授权”原则

2.权限梳理,简历岗位角色权限清单

  • 重点关注敏感数据或影响较大的权限
  • 表1:账户、岗位、角色和权限对应表——检查权限是否合理并推进后续整改工作
  • 表2:岗位、角色和共性权限的对应表——权限初始化分配、自动化检查、定期审计和审阅工作。

3.推进账户及权限的集中管理,完善日志记录和存储能力

  • 域控
  • SSO,分级认证

4.自动监控与纠正措施(前提是2的两张表要有)

5.定期审计与审阅机制

出现于合规问题交叉的执行风险和技术工作,谁来推动工作

  • 数据安全、业务安全或基础安全这些跟技术结合更机密的团队接受。
  • 合规团队更侧重于管理和协调
  • 有利于合规职能团队的独立性,保证评估和审计结果的公正性和可信度

还有些关于加密措施,下一篇总结。

CATALOG
  1. 1. 如何要HC?
  2. 2. SRC作用
  3. 3. SRC财税问题
  4. 4. 培训指标考核
  5. 5. 权限管理
  6. 6. 出现于合规问题交叉的执行风险和技术工作,谁来推动工作