第四部分,分享一下我们具体的安全规划的实施方式和方法。这张图我们花了很大的精力、费了很长的时间做的,大家可以看到这张图分成了两个框架,前面是信息管理框架,后面是技术框架。这些部分我们要做的工作非常多,这就是我们现在面临的现状,你把它都放在里面,哪些做了、哪些没做、哪些是着急做的,右上角的位置是我们做的分析,我们会逐步的去做。因为信息安全建设不是一蹴而就的,我们要有一个渐进的过程。
刚才大家看到了这么多的内容,企业也不可能一次性把它实施完成,所以我们有自己的实施路线图优先级的考虑。我们会从严重性、风险、收益、易实施性、最佳实践5个维度进行,把我们的事情进行轻重缓急的分配。这是我们整体上在实际运作的时候做的一个路线图,我们做了3年安全规划的投入,大概的投入是控制预算在1000万以内,每年投200万到300万,能达到最终做到3.0。大家可以看到,我们在这个行当做到3.0就OK了,没必要往4.0做,因为所有投入都是要成本的。这个也是对应我们的安全成熟度滑动标尺,我们第一步在第一年是建体系、搭围墙,做基础保障安全。第二步是梳理数据资产,建保险柜,来实现纵深的防御。第三步是运维保障,主动防御,做到整个企业的安全运营。这是每个环节我们要做的一些内容,也把它分解到这张图里了。
这是我们的建设内容实施规划,1.0的时候要做哪些工作,我们细化出来了,第二年2.0的也细化出来了,第三年3.0要做什么也细化出来了,一步一步,这样我们的规划才能落地。这个又细了一步,直接到了建设层面上,大家看一下这些项目,包括方案选型、预算,一个规划怎么落地、要做哪些事、要花多少钱。这里给大家分享了一个点,建设模式大家一定要想清楚,比如说我们的信息安全组织的建立肯定是自主建设的,一个企业没有信息安全组织就没有组织保障,你的事情是做不好的。但是安全制度和流程的建立,我建议各位请外面比较成熟的咨询公司去搭建一个体系,后面这些可以用外部支持,自己也可以去做。纵深防御阶段,我们要做数据放泄露、数据库审计、工控系统安全等等,这是根据我们企业的情况的缺失部分。这是到3.0以后要做的工作,底下还有一些内容,我只是给大家举了一下。
基本上今天给大家分享的企业信息安全建设规划方面的情况就是这样,最后的结束语我想和各位分享一下,信息安全问题归根结底是人的问题,信息安全管理是核心,技术是手段,道高一尺,魔高一丈,信息安全建设只有起点,没有终点,我们永远在路上。我今天的分享就到这里。谢谢各位!
