在公司我一直比较重视信息安全工作,也设置了信息安全岗,但是迟迟未能落实到具体细节,去年我发现安全的岗位工作量较大,很多信息安全工作无法落实,特此又重新增加了信息安全编制。时间过去了大半年,也一直未能招到合适的人员。今天面试了省内较为出名的一家企业的现有的信息安全员,引发了很多感想,具体信息安全应该如何开展呢?
个人认为,所有的信息化工作都应该要有愿景,即使在信息安全永远趋近于零的这样的领域内,也应该是要先有规划才可行,否则就会被他人牵着鼻子走,领导说这个不行、服务商说哪个好,最终是人云即云,头痛医通、脚痛医脚,出了很多解决方案上了一大堆设备,最终回过头来看,发现很多重复、很多缺陷。信息项目应该从愿景规划,再到问题诊断,然后是根据公司的实际情况按需建设,最终实现愿景。 同时建设过程中还要核实项目建设是否达到预期,且运行过程中也要不断进行监督、检查,并根据规划、实际情况不断的优化。
一、规划
要如何开展规划,这个其实是应有标准模版的,个人建议可以采用以下三种方案:一、国标或者是等保、ISO27000等等要求,并转化成公司的愿景;二、是采用国内、行业内最好的信息化安全方案作为对标;三,是采用安全产商的设计,个人认为这个会比较偏颇,毕竟安全厂商更多还是会利用自有产品。
二、建设
这个是调研和蓝图设计阶段,充分调研,找出公司存在的问题,并对标分析规划的方案,出具整体建设方案,在有了整体建设方案后,我们侧重于公司的实际情况,未来一定时间段内的展望出具各阶段项目建设计划。
项目建设过程中,并不会完全按照计划进行开展,毕竟信息技术也在不断进行,那么这个时候应根据公司的实际情况,会选择建设计划或调整建设计划。
三、核实
项目建设了,并不能说就万无一失了,应设定专人来检查核实信息安全的建设情况,后期落实和执行情况,从制度、流程上确保项目落实到位,信息安全工作执行到位。
四、优化
信息技术的快速发展,时间的推移,使得信息安全永远趋近于零,原先设计的方案是基于设计时的技术来,应该进行定期的验证和优化,确保愿景和规划是跟上信息技术的变革的。
信息安全,绝对不是你想的那样
信息安全,绝对不是你想的那样
网友评论