上个月微盟系统被员工删库,连备份的数据库都给删除了,造成公司敲湮茉漆赔偿1.5亿。可见微盟公司几乎是没有安全管理。小公司没有安全管理,可能损失小,影响不大,但是有点规模的公鸶恐抻台司如果没有安全管理,轻则巨额赔偿,重则牢狱之灾,公司破产倒闭。 下面分享一下我在之前的一家上市公司所做的安全管理流程及制定经验,期望能帮助到大家。
工具/原料
亿图图示(这个软件还是很不错的)
主要流程
1、系统上线升级流程 为了保障线上系统的稳定可用,因此,设置了必要的技术审核和安全审核。安全验收测试不通过的,不允许上线。现在国家等保要求越来越严格了。
2、项目下线流程 一些公司网站被攻破了,才知道自己挖的坑。以前早就不用的域名或者系统没有及时关闭,给黑客开了方便之门。因滠锖斟绸此,对于临时搭建演示用的对外网站或者系统,以及项目终止的系统都应该走流程下线。 下线是有一系列的工作要做的,绝非简单的关停网站。通俗地说就是把当初运维做的一些操作反过来做一遍。比如,关停应用、关闭端口、关闭域名、销毁数据等等。
3、网络逅秫舒迩策略调整流程 对外开放端口这种事一定要审核。遵循默认原则,无业务需要,应禁止对外开放任何端口。 网络策略调整包括NAT映射、域名开通、端口开通、主机外网权限开通及枷讹般身相关变更。 并且需要定期审计。有了流程就需要有监管。
4、数据提取流程 企业数据,任何提取都应当有此流程监管控制,有记录可查。涉及用户敏感信息,那更应该严格落实流程。毕竟现在数据泄露事件频出不穷,没有尽到保护用户敏感信息的义务,将会让企业面临监管风险,甚至法律风险。
5、数据清理审批流程 任何线上的数据,清理都应该严格审批。通过对脚本的审核,防止误删数据。通过测试验收通过才允许关闭工单的步骤,确保即使误删,也能及时发现并回滚。
6、大数据应用系统账号权限申请审批流程 大数据应用系统涉及到太多的数据,一般都会包含敏感信息,账号权限管理是防止数据从内部泄露的关键。
流程制定经验
1、达成共识 先思考为什么要制定此安全管理流程,和相关人员沟通达成共识。这是非常关键的。
2、编写和评审流程文档 收集并整理流程需求及相关方的意见,输出流程文档,邮件发源捍悉刈送相关方进行审评审,可能会涉及多个来回。意见收集和调整是非常重要的,如果这项工作不做,后期落地执行会遇到阻碍的。 流程在制定时,要遵循几个原则。 1、工单报告人的主管要参与审批。 2、报告人发起工单,原则上也是最终验收关闭工单的人。 3、根据企业的实际情况,设置必要的条件性审核。避免无条件地全部审核,降低工作效率,同时也会让流程伦为形式。 4、流程表单字段尽量只设计必填字段,以让表单简洁实用,填写高效。
3、流程开发 找一个合适的流程管理软件,比如Jira,将流程落实到系统中,走电子工单审批,高效便捷。流程开发后需要反复测试,确保无误。
4、流程试运行 流程开发完成后,如有必要,可组织相关人员培训,或者提供操作文档等,开始流程试运行。在试运行的过程中,及时完善。
5、流程正式运行 试运行结束后,就进入了正式运行阶段。这个过程中,也需要不断地根据问题进行调整完善。
6、审计监督 光有流程制定、执行是不够的。很多公司流程最后流于形式,因为缺乏有效的审计监督。审计就是要发现流程执行情况是否按照要求进行,要予以公开。向上级反馈。
