安全是一個(gè)不斷的持續(xù)的過(guò)程铸本,每個(gè)環(huán)節(jié)都不可缺少嗽桩,在安全的路上懂的越多發(fā)現(xiàn)自己不懂的越多嗅骄。
1概述
我在某做WL的公司負(fù)責(zé)公司整體安全床绪,保護(hù)公司業(yè)務(wù)系統(tǒng)的安全(這個(gè)系統(tǒng)會(huì)有大部分看官的個(gè)人信息)机杜。公司業(yè)務(wù)發(fā)展很快帜讲,但是信息化基礎(chǔ)建設(shè)很落后,管理不規(guī)范叉庐,人員技術(shù)水平參差不齊舒帮,對(duì)網(wǎng)絡(luò)和安全沒(méi)有認(rèn)識(shí)。領(lǐng)導(dǎo)對(duì)安全概念模糊陡叠,無(wú)法落實(shí)玩郊;因?yàn)槭切聛?lái)的,領(lǐng)導(dǎo)對(duì)提出的解決方案有選擇的進(jìn)行枉阵,但是有個(gè)好的地方就是公司發(fā)展太快译红,出現(xiàn)過(guò)不少安全問(wèn)題,給我們安全部帶來(lái)了外部推動(dòng)力(雖然不想出事兴溜,但是出事了可以加快安全建設(shè)的腳步)侦厚。
一年的時(shí)間從什么都沒(méi)到現(xiàn)在的逐漸成型、各種安全流程的建立和落地拙徽,建了ISO27001安全體系(通過(guò)了認(rèn)證)刨沦,此篇文章進(jìn)行了一個(gè)總結(jié),期間也碰到了的很多坑和挫折膘怕,自己也在這個(gè)過(guò)程中學(xué)習(xí)了成長(zhǎng)了想诅,這里再次感謝幫助過(guò)我的朋友們,感謝安全部另外一位X大牛岛心。
2對(duì)ISO27001理解
通過(guò)一年的時(shí)間對(duì)從0到拿證的過(guò)程来破,簡(jiǎn)單說(shuō)一下我對(duì)ISO27001的理解:不管是ISO27001還是安全我覺得都是圍繞著業(yè)務(wù)進(jìn)行的,一切的出發(fā)點(diǎn)都是保證業(yè)務(wù)的連續(xù)的忘古、穩(wěn)定的運(yùn)行徘禁,要保證業(yè)務(wù)的連續(xù)的、穩(wěn)定的運(yùn)行髓堪,你需要知道你有什么資產(chǎn)送朱,資產(chǎn)面臨什么風(fēng)險(xiǎn)娘荡,這些風(fēng)險(xiǎn)要怎么處理,這樣一個(gè)過(guò)程中還要循序PDCA的原則(plan-do-check-action)骤菠。做每一個(gè)制度和每一個(gè)要求的時(shí)候從業(yè)務(wù)角度出發(fā)去思考它改,這樣做才可以最大化的保證所寫的制度規(guī)范能執(zhí)行疤孕,為后面落地提供依據(jù)商乎。憑空或單純從安全的角度看問(wèn)題,很容易把問(wèn)題想的很嚴(yán)重祭阀,給出的解決方案往往短時(shí)間無(wú)法執(zhí)行鹉戚,后面會(huì)簡(jiǎn)闡述一下當(dāng)時(shí)的想法。
脫離業(yè)務(wù)談安全和脫離安全談業(yè)務(wù)都是不現(xiàn)實(shí)的专控。
3為什么要做
我個(gè)人理解做這個(gè)事情的2大因素:
3.1外因
一個(gè)公司發(fā)展到一定程度和規(guī)模的時(shí)候抹凳,公司自身的安全已經(jīng)不是自己的問(wèn)題了,你會(huì)涉及到社會(huì)層面伦腐、合作層面赢底、業(yè)務(wù)發(fā)展層面。如:我們公司的發(fā)起做ISO27001的需求其實(shí)就不是來(lái)自安全部柏蘑,是業(yè)務(wù)部門在推廣業(yè)務(wù)的過(guò)程中遇到了阻力幸冻,因?yàn)榭蛻舻南到y(tǒng)過(guò)了ISO27001他們會(huì)要求你與他對(duì)接的系統(tǒng)有一定的安全性,這個(gè)要求就表現(xiàn)為ISO27001咳焚。
我們就業(yè)找工作很多時(shí)候是看能力洽损,但是有時(shí)候證書就像一個(gè)門票,沒(méi)有門票就無(wú)法上車革半,ISO27001就是一個(gè)公司的證書碑定。
還有重要因素《網(wǎng)絡(luò)安全法》出臺(tái)了,國(guó)家對(duì)安全的要求肯定是先從政府自身開始又官,然后慢慢到要求企業(yè)延刘,與其等出事不如從現(xiàn)在開始做。
3.2內(nèi)因
每一個(gè)公司通過(guò)幾年或更長(zhǎng)時(shí)間的成長(zhǎng)六敬,公司會(huì)積累很多信息化系統(tǒng)碘赖,保障這些系統(tǒng)的正常運(yùn)行就很重要,并且在對(duì)信息化管理過(guò)程中出現(xiàn)的很多職責(zé)不明確觉阅,邊界不清崖疤,流程和制度不全,所有的操作規(guī)范和行為都靠約定俗成典勇,沒(méi)有體系化文檔支撐劫哼,這些都影響系統(tǒng)穩(wěn)定運(yùn)行。
4控制項(xiàng)簡(jiǎn)單說(shuō)明
ISO27001相信做安全的同學(xué)都有接觸割笙,百度有很詳細(xì)的說(shuō)明权烧,我簡(jiǎn)單說(shuō)一下自己的理解眯亦,大牛勿噴。ISO27001是一套安全管理類的文檔般码,為了保證信息化工作和生產(chǎn)正常穩(wěn)定的運(yùn)行妻率,一切都是圍繞業(yè)務(wù)展開的,很多安全管理思路從公司的核心業(yè)務(wù)出發(fā)去考慮很多制度和規(guī)范都可以合理的解釋板祝。說(shuō)個(gè)題外話很多做技術(shù)的和做管理的都是相互不對(duì)路宫静,相互看不起,說(shuō)句實(shí)在很多時(shí)候純粹靠技術(shù)或純粹靠管理去達(dá)到某個(gè)防護(hù)目標(biāo)是不可能實(shí)現(xiàn)的券时,技術(shù)的實(shí)現(xiàn)可以方便和簡(jiǎn)化管理孤里,管理制度的要求可以推動(dòng)技術(shù)的落地,2者是相輔相成橘洞。
ISO27001從原來(lái)的15項(xiàng)標(biāo)準(zhǔn)要求變?yōu)榱爽F(xiàn)在的18項(xiàng)捌袜,新增了2項(xiàng)、通信和操作管理拆除為2項(xiàng)炸枣。
下面簡(jiǎn)單說(shuō)一下我對(duì)18個(gè)標(biāo)準(zhǔn)項(xiàng)的理解虏等,并不是所有標(biāo)準(zhǔn)都要響應(yīng),如果實(shí)際情況沒(méi)有可以不寫适肠,標(biāo)準(zhǔn)的要求不是重新編寫公司已有的制度霍衫,只需要在原有制度上增加對(duì)安全相關(guān)的控制項(xiàng):
5文檔編寫架構(gòu)
ISO27001對(duì)應(yīng)的文檔說(shuō)明其實(shí)叫適用性聲明,如上表文件和控制項(xiàng)是一一對(duì)應(yīng)的迂猴,標(biāo)準(zhǔn)文檔架構(gòu)為:手冊(cè)慕淡、程序文件、作業(yè)指導(dǎo)書沸毁、運(yùn)行記錄:
? 手冊(cè):就是對(duì)ISO27001體系的一個(gè)總體的說(shuō)明文檔
? 程序文件:具體描述每一個(gè)對(duì)應(yīng)的標(biāo)準(zhǔn)要做什么
? 作業(yè)指導(dǎo)書:是對(duì)程序文件進(jìn)一步解讀磅氨,怎么做
? 運(yùn)行記錄:是對(duì)做了上述工作后的一個(gè)產(chǎn)出文檔犀暑,可以是電子記錄或紙質(zhì)文件
針對(duì)這個(gè)情況咨詢過(guò)評(píng)審老師甥绿,現(xiàn)在可以按照自己公司的實(shí)際情況去執(zhí)行嵌戈,但是手冊(cè)文件必須都有。我們針對(duì)公司的實(shí)際情況做了修改搂誉,因?yàn)楹芏鄷r(shí)候落地的時(shí)候都是以制度去要求和約束徐紧,我們把原有架構(gòu)做了改變,重寫全部的策略和要求炭懊,當(dāng)然過(guò)程中有參考并级,整個(gè)過(guò)程耗費(fèi)2人一個(gè)月時(shí)間(對(duì)于技術(shù)出身的人來(lái)說(shuō)是艱苦的歲月),中途還修改了2個(gè)版本侮腹,跟領(lǐng)導(dǎo)對(duì)內(nèi)容一個(gè)一個(gè)文檔審嘲碧。
變?yōu)椋菏謨?cè)、策略父阻、制度愈涩、運(yùn)行記錄
? 手冊(cè):一樣沒(méi)變
? 策略:針對(duì)標(biāo)準(zhǔn)要求望抽,提出我們自己公司的要求
? 制度:用制度明確需要做什么,要求怎么做
? 運(yùn)行記錄:不單純?yōu)檫\(yùn)行記錄文件履婉,還包含了怎么做的具體操作文檔
最后強(qiáng)調(diào)一下最好不要拍腦袋寫一些要求煤篙,盡量實(shí)事求是,做到什么程度就在這個(gè)程度是增加安全要求毁腿。
6體系運(yùn)行
6.1體系發(fā)布
安全的工作如果由上致下會(huì)很順利很容易推動(dòng)辑奈,但是,體系的發(fā)布一定需要領(lǐng)導(dǎo)層去幫你發(fā)布執(zhí)行狸棍,讓全公司知道有這樣一件事情身害,然后給領(lǐng)導(dǎo)要講解(洗腦)這個(gè)東西是做什么的,可以為公司帶來(lái)什么好處草戈,讓領(lǐng)導(dǎo)認(rèn)同或部分認(rèn)同你的觀點(diǎn),這樣對(duì)后面的體系建設(shè)會(huì)很有幫助侍瑟。
6.2體系分解
按照正常套路來(lái)說(shuō)ISO27001要做的東西很多唐片,我把安全體系分割為了3大塊:管理、技術(shù)涨颜、和運(yùn)行(前面也有提到)费韭。管理:主要是制度、規(guī)范約束庭瑰;技術(shù):主要是實(shí)現(xiàn)目標(biāo)星持;運(yùn)行:主要是讓前面的2點(diǎn)不要成為空談,要有定期檢查產(chǎn)出弹灭。
本來(lái)在按照公司的現(xiàn)狀我制定的安全是分三步走的:起步-成長(zhǎng)-成熟督暂,成熟后運(yùn)行2-3年再通過(guò)ISO27001的審核,在我個(gè)人看來(lái)毫無(wú)壓力穷吮。但是由于要拿證時(shí)間只有1年逻翁,所有的東西都需要重新做沒(méi)法按照套路來(lái)。
?????如果大家的時(shí)間較多捡鱼,建議做一次全面的風(fēng)險(xiǎn)評(píng)估八回,針對(duì)風(fēng)險(xiǎn)一個(gè)一個(gè)完善文檔。
6.3體系執(zhí)行
執(zhí)行主要是看檢查在上述文檔中的產(chǎn)出驾诈,如:發(fā)布了《安全運(yùn)維管理制度》缠诅,那么根據(jù)要求,可能需要對(duì)機(jī)房進(jìn)行周期性巡檢產(chǎn)出《機(jī)房巡檢記錄表》乍迄,進(jìn)出機(jī)房需要產(chǎn)出《機(jī)房進(jìn)出記錄表》管引。
按照個(gè)套路檢查一個(gè)制度文件的產(chǎn)出,因此我們做了一個(gè)表就乓,便于后面的審計(jì):
?????大家可以把一些事情簡(jiǎn)單化汉匙,什么什么都用文檔很繁瑣拱烁,如:
基于django 自主開發(fā)的資產(chǎn)管理系統(tǒng),如果出現(xiàn)什么漏洞可以快速定位噩翠。
?????上面只是日常的執(zhí)行要求戏自,ISO27001還會(huì)有一個(gè)每年的內(nèi)審和評(píng)審,內(nèi)審:檢查日常工作是否按照要求做好伤锚;評(píng)審:審核制度體系是否需要跟上公司的業(yè)務(wù)變化擅笔,做錯(cuò)對(duì)應(yīng)的調(diào)整。
6.4體系培訓(xùn)
體系制度已經(jīng)發(fā)布后屯援,執(zhí)行是有阻力的猛们,因?yàn)榇蚱屏嗽械募s定俗成,增加了各個(gè)部門的工作量狞洋,這個(gè)需要非常耐心的去解釋解答(這個(gè)過(guò)程很多人會(huì)找碴)弯淘,需要培訓(xùn)去使大家有一定認(rèn)識(shí),從而配合你做事情吉懊。當(dāng)然最重要的是從領(lǐng)導(dǎo)層面推動(dòng)庐橙,那樣阻力就少很多,我們?cè)谶@個(gè)過(guò)程中也沒(méi)少發(fā)生申請(qǐng)事件借嗽,被刪文件夾态鳖、中勒索病毒、數(shù)據(jù)庫(kù)被暴力破解還有來(lái)自合作伙伴的漏洞通報(bào)恶导。
培訓(xùn)可以從以下幾塊做:
? 新員工培訓(xùn)
? 平時(shí)公司內(nèi)部培訓(xùn)浆竭、討論、講座
? 真實(shí)案例延時(shí)(滲透測(cè)試惨寿、當(dāng)場(chǎng)干公司的系統(tǒng)邦泄,順便展示實(shí)力,不過(guò)這個(gè)度自己要把握好)
多拋頭露面準(zhǔn)沒(méi)壞處缤沦。
7總結(jié)
簡(jiǎn)單介紹了ISO27001的建設(shè)虎韵,一個(gè)體系文件寫下來(lái),深深的覺得這個(gè)東西就是套路缸废,環(huán)環(huán)相扣包蓝,都是相互引用的。在剛開始的時(shí)候壓力企量、阻力會(huì)很大测萎,但是做好了后面是一勞永逸,讓制度執(zhí)行幾個(gè)月后做內(nèi)審和評(píng)審届巩,發(fā)現(xiàn)問(wèn)題并解決硅瞧,做完這些就基本可以申請(qǐng)外審了。
最后如果大家有想法要做的話可以先看一次標(biāo)準(zhǔn)恕汇,理解一下腕唧,再結(jié)合實(shí)際情況進(jìn)行編寫或辖,因?yàn)樵谥贫任臋n里面寫到的就需要實(shí)現(xiàn),外審的時(shí)候就要查的枣接,盡量實(shí)事求是颂暇。
