企業(yè)安全建設(shè)從合規(guī)開始
2020年12月05日
由于國家對網(wǎng)絡(luò)安全的重視���,極大的促進(jìn)了網(wǎng)絡(luò)安全的發(fā)展���,越來越多的企業(yè)都開始開展企業(yè)安全建設(shè)的工作。
但隨著安全建設(shè)的不斷深入和發(fā)展��,各種規(guī)劃���、制度��、要求的增多��,會逐漸進(jìn)入安全運營階段�����,必定存在有制度未落地���,要求未執(zhí)行到位的情況出現(xiàn)��,這時安全審計與合規(guī)檢查就顯得尤為重要了���,它能通過某些方法從安全的角度出發(fā),發(fā)現(xiàn)一些需要優(yōu)化及改正的地方�,促進(jìn)整個安全體系的建設(shè)與運營。
通過合規(guī)檢查及審計的形式或者方式來推動企業(yè)信息安全制度實現(xiàn)���,推動整個安全體制的良性發(fā)展����,打造全方位的運營體系���。
檢查目標(biāo)
1.資產(chǎn)梳理
2.邊界安全����,防火墻策略控制(需要梳理業(yè)務(wù)端口)
3.賬戶安全管理
4.服務(wù)器安全
5.WEB安全
應(yīng)用滲透測試
接口安全(加密����、通信)
webshell實時監(jiān)測
Nginx日志分析/Nginx流量旁路分析
6.業(yè)務(wù)風(fēng)控安全
用戶安全機制(密碼、驗證碼�����、登錄)
交易安全
7.安全培訓(xùn)
安全意識培訓(xùn)
運維安全培訓(xùn)
WEB安全開發(fā)
8.安全規(guī)范和流程
人員入職賬戶開通
人員離職賬戶注銷
服務(wù)器上下架安全管理
安全應(yīng)急響應(yīng)機制
9.內(nèi)網(wǎng)安全
安全合規(guī)檢查
確定了檢測的目標(biāo)系統(tǒng)或應(yīng)用后,我們需要制定檢測的內(nèi)容�����,可能主要包括網(wǎng)絡(luò)安全、應(yīng)用安全����、數(shù)據(jù)安全、訪問控制����、主機安全��、權(quán)限控制等幾方面考慮����,也會考慮系統(tǒng)的特殊性及主要功能,確認(rèn)出重點檢查內(nèi)容��,例如�����,存在較多敏感數(shù)據(jù)的系統(tǒng)�����,我們會重點檢查數(shù)據(jù)安全��、訪問控制、權(quán)限控制等幾方面的內(nèi)容�����;
當(dāng)所有的檢查內(nèi)容已確認(rèn)后���,針對檢查項的內(nèi)容�����,進(jìn)行具體的分工�,一般來說都會選擇各自擅長的領(lǐng)域����,保證檢測內(nèi)容具體一定的深度及專業(yè)性,檢查人員會根據(jù)公司的制度要求以及日常工作的經(jīng)驗對內(nèi)容進(jìn)行檢查��。
針對檢查的內(nèi)容�,檢查組內(nèi)部會根據(jù)制度或經(jīng)驗,會要求被檢查方先提供部分資料�����,減少檢查時間��,一般檢查組組長會事先收集好檢查組內(nèi)部的資料調(diào)閱需求,然后統(tǒng)一發(fā)送給被檢查方接口人��,要求在什么時候提供什么內(nèi)容的資料�����,檢查組內(nèi)部也會根據(jù)提供的材料���,在現(xiàn)場或遠(yuǎn)程查看重點關(guān)注的內(nèi)容項。
隨著前面檢查準(zhǔn)備工作的完成�,正式進(jìn)入安全檢查的環(huán)節(jié),這部分可能會有兩種方式進(jìn)行�,遠(yuǎn)程檢查或現(xiàn)場檢查,遠(yuǎn)程檢測會通過視頻的形式要求展示檢測組提出的檢查點��,現(xiàn)場檢查的流程為召開啟動會����、確定訪談內(nèi)容及計劃、現(xiàn)場或遠(yuǎn)程核查內(nèi)容項�、檢查進(jìn)度匯報、檢查問題收集等����。
我們一般去現(xiàn)場檢查都會先召開啟動會,會將相關(guān)部門的領(lǐng)導(dǎo)、人員邀請參加會議��,以便于后面工作的開展���,在會上將會此次檢查的目的����、流程安排�、要求等告知被檢查方,針對檢查的內(nèi)容項�,會建議被檢查方的領(lǐng)導(dǎo)指定對應(yīng)的人員去負(fù)責(zé)配合工作等。
確定訪談內(nèi)容和計劃的制定
現(xiàn)場\遠(yuǎn)程核查內(nèi)容
到了這一步�,前面肯定會收到調(diào)閱材料,此時���,應(yīng)該要求檢查組成員對提供的材料進(jìn)行核查����,確認(rèn)哪些已經(jīng)滿足的�,哪些還需要補充,哪些需要現(xiàn)場上機查看���,哪些可以遠(yuǎn)程提供的����,這都需要做個好的記錄與統(tǒng)計。
檢查進(jìn)度匯報
一般檢查的時間都不止一天��,每天下班前檢查組的每個組員都需要對自己今天進(jìn)展進(jìn)行匯報�����,表達(dá)檢查的方法及進(jìn)度�����,組長此時應(yīng)根據(jù)組員的反饋情況�,及時調(diào)整優(yōu)化����,記錄,當(dāng)組員全部匯報完成后���,需將今天檢查的進(jìn)度告知雙方領(lǐng)導(dǎo)及組員���,以便雙方領(lǐng)導(dǎo)都明白檢查項目的進(jìn)展情況,我一般都采用郵件的方式�����,這樣顯得正式些。
注:對檢查過程中需要升級處理的問題�����,需盡早提出����,尋求方法處理,說明困難的原因��,請求以及時間��,以便領(lǐng)導(dǎo)能協(xié)調(diào)資源幫助解決�����。
問題信息收集
最后����,組長需要對此次檢查發(fā)現(xiàn)的問題進(jìn)行統(tǒng)計,確認(rèn)�,存在的問題都應(yīng)有截圖證明材料,以及公司的制度要求等�����,能證實問題確實存在,且告知與公司制度的哪一項要求不符合�,怎么整改等。
檢查結(jié)束發(fā)現(xiàn)問題確認(rèn)
在與被檢查方確認(rèn)問題之前��,檢查組內(nèi)部需進(jìn)行問題分析��、確認(rèn)���,評估發(fā)現(xiàn)問題的風(fēng)險及內(nèi)容�����,盡量描述的準(zhǔn)確���,真實��,這樣被檢查方才會認(rèn)可發(fā)現(xiàn)的問題���,能現(xiàn)場整改完成的���,可以直接溝通現(xiàn)場整改完成�����,并保留證明材料�����;
與被檢查方確認(rèn)問題之時���,清晰明了的指出問題所在,違反的制度內(nèi)容以及整改方式�。
最終確定的檢查清單,應(yīng)已郵件的形式發(fā)給雙方領(lǐng)導(dǎo)及參與人員�。
難免會有爭辯的地方,切忌因情緒影響�����,根據(jù)發(fā)現(xiàn)風(fēng)險���、分析原因��、整改措施這三個方面來溝通
編寫檢查報告
問題進(jìn)行確認(rèn)后�����,需要編寫一份檢查報告�����,對整個檢查項目進(jìn)行分析�,包括檢查目標(biāo),檢查內(nèi)容�����,檢查人員�,檢查計劃,發(fā)現(xiàn)的問題等方面��,針對檢查內(nèi)容�����,應(yīng)盡量詳實的描述實際檢查的情況���。
檢查總結(jié)
針對整個檢查項目完成后�����,應(yīng)該對此次檢查做個總結(jié)����,可以從如下幾個方面去總結(jié):
此次檢查的內(nèi)容覆蓋是否完全��,查看是否達(dá)到預(yù)期的設(shè)想
針對發(fā)現(xiàn)的問題����,是否需要改進(jìn),存在的漏洞或者問題
檢查過程中���,如何提高效率
整個檢查流程是否需要更新或提高
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價值
http://hbshty.cn/
免費咨詢熱線:400-6776-989
