取消
显示结果 
搜索替代 
您的意思是: 
cancel
810
查看次数
0
有帮助
1
评论
julianchen
Spotlight
Spotlight
原创作品,未经Julian 本人授权不得转载,侵权必究。
还是跟大家在开篇前聊一个安全事件吧。上周我同学收到他老板转发来的内容是最新行业资料的短信,老板说发信人是他有一段时间没联系的朋友,老板怀疑是病毒,所以让作为IT的他下载着试试,并附言“你们技术大牛,这方面有经验就算是病毒也不怕。他一眼看出是病毒,但不敢驳老板的面子和信任,所以转发给我这个所谓的安全专家。而我碍于他是我多年的生死之交,又无人转投,只有硬着头皮试了。结果不出所料,只剩下孤独的我忙不停的给手机杀毒,并咒骂这个“猪一样的队友啊。这再次证明安全事故有时候与技术无关,不只是意识的问题,更重要的是“人与人之间过于信任”啊。

最近哥真的忙得紧。老板吹响了“集结号”,我们准备从各地赶到香港做一个大项目(貌似很高逼格的样子);家里又有亲人生病需要照顾。我只有抽空中午去图书馆查阅资料。上海最近雾霾+寒潮,单位的清洁阿姨关切的对我说“现在都是网络时代了,你还老跑图书馆看那些过时的旧的资料,特别是计算机方面”。我在感谢的同时心想:你不觉得图书馆里里前人总结的理论和网络上前沿知识技能间有熔断吗?我是一个小小电焊工,用我自己的经验作为“助熔剂”把他们熔合到一起,再分享Post出来哦。这叫“回首与前瞻的普拉斯(加号)”。

1.3.4. 管理决策

IT管理决策层多由一个首席信息官和IT各子部门的带头人组成。他们与其他业务部门的代表一起组成信息安全委员会,履行如下职责:

1. 信息安全相关项目和服务变更的发起、规划和管理。

在当前各个企业里,各类管理人员基本上都受过项目管理的相关培训甚至已持有证书。因此在日常运行中融入项目制是司空见惯的。好的管理者要在项目的起始阶段发挥重要作用。我只谈我的一点感受:因为套用“马斯洛需求层次”信息安全项目不同于一般的IT项目,它解决的不是“能不能用的问题,而是“用着放不放心”的问题。因此任何信息安全相关的发起都要体现对业务的好处或是提升的价值。而且这种价值要能在企业内部,至少是企业所有者所认可和意识到的。而这将是你后期工作的根基。说过分一点:所有以业务为敌的信息安全项目都将以失败告终。与其最后扼腕叹息、名声扫地,不让一开始就不开展。

说到发起、规划,我的脑子里突然想起柳传志提到过的管理三要素:搭班子,定战略,带队伍。而定战略时要有一定的前瞻性,凡是周全考虑。IT技术日新月异,千万不可禁锢发展的空间。很多系统初始设计的局限性是滞后才体现的。比如说最新技术可能带有一些自身的安全漏洞,而这些与生俱来的fault可能会被另一种技术所迅速替代了。所以我们不要盲从最新的技术,“且行且珍惜,不然还会导致IT部门人员长期处于布朗运动的状态,累成狗似的。所以虽然身处发展前沿的IT框架下,我们信息安全管理者还是不要过于fashion,淡定,淡定啊!

2. 定期对整个系统进行风险识别、分析、评估和管理。

我们所规划和维护的系统不能流于形式成为什么形象工程,或是one-time job。就是一开始构建得固若金汤,时过境迁,技术发展,内外漏洞在不知不觉中滋长。因此不可小看定期评估与审计这种舶来品,曾子他老人家也经常“日三省乎己吗?定期给自己的系统“抓虱子”吧。

3. 制定针对企业整体信息安全管理体系框架描述的信息安全的方针和手册,完善并更新各种安全管理和操作的具体流程。

还记得《杜拉拉升职记》里提到的吗:DB,你是先迈左脚,还是先迈右脚,都能在SOP(标准作业程序)里面找到答案。所以说啦,标准化流程化可以把各种误操作降到最低。

4. 对供应商和外包商进行安全管理并对其合同进行风险约束。

正所谓手中有粮心中不慌,有了和他们的合同,你会觉得自己手中的硬件和服务资源充沛了许多。而且也无形中形成了“一荣俱荣,一损俱损”的连带关系。

5. 为信息安全的操作和管理提供支持,调配资源并定期审查这个系统的安全达标情况。

我曾听到过一位IT管理决策者想我坦言,他从基层人员慢慢自我提升上来,回首走来的路,发现以前做底层操作实施人员的时候,仅仅机器打交到反而是最简单的,因为有明确的对与错。而越往上走,越多的要和人打交,他发现可以遵循的手册越少,挂在嘴边的什么支持,调配资源等,面对形形色色的人员,特别是理科IT男的时候真是好难,好难啊!(我这里可没有诋毁wuli理科IT男的意思,虽然我自己也是。)而且因为你是领导,我们常说的要负有领导责任,所以该出来为属下顶子弹或背锅的时候,你可千万别含糊哦。有时候,真的是“人在江湖、身不由己,顶要比不顶好得多!

而说到定期审查达标情况,除了policy的贯彻,第一手数据还是来自于各种记录(logs)。而不管是外审,内审还是自己审,看的都是各种运营中的记录哦。相信不少看官和我一样是从微软的Windows意识到log的魅力和重要性的吧?衍生这个概念,其实我们在做任何项目、任何系统的时候都要牢记记录(包括各种check point data)。这又要说会到ITIL里提到的配置管理数据库了,所以说如果你不够前瞻性,那么就做好记录,步步为营吧。那句话怎么说的雷锋叔叔只是把做的好事都记在日记本里了。你该知道学习雷锋有多么重要了吧?

作为微信控和低头族的我一般会习惯性的把咱公众号里的内容转发到我的朋友圈。前几天,一个妹子给我留言说:“太好啊,我在进步了,你最近的漫谈,我相对于以前能看懂许多了。”我顿觉额头三条黑线。妹纸,你这是在捧我科普得到位,还是在损我技术水平下降了。算了,不去想多了。“漫谈不只是眼前的技术,还有诗和远方的技术。”哈哈。

评论
superspace521
Spotlight
Spotlight
好文章,楼主辛苦了
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接