写点什么

安全第二话

作者:张老蔫
  • 2021 年 12 月 07 日
  • 本文字数:656 字

    阅读完需:约 2 分钟

昨天讲到了安全相关的一些点,实际上安全相关的更主要的是流程和制度相关的。所以今天写一个第二话,讲讲安全的制度和流程。安全体系里最关键的是要成立安全领导小组,而且要高管是负责人

从管理规范性上,公司应该建立以下相关的安全制度。:

总纲类文件

信息安全整体制度和安全策略

信息安全工作管理制度

信息安全工作管理流程

单项文件

员工安全保密培训制度

网络安全制度

数据安全制度

办公场所安全制度

机房安全制度

预警 &处置类

安全预防制度

安全事故处理流程


完成了上述的文件,基本的安全架子就搭起来了。从技术角度讲,更关注的是其中几点:网络安全、系统安全、数据安全。系统和网络的安全内容大部分都在昨天的内容里提到了。特别再说说数据安全。

数据安全

数据安全里最核心的是数据的分类分级,这个国家出台了一些国标的参考文件,例如我们这个行业的 JRT 0197-2020 金融数据安全 数据安全分级指南。这就是我们现在的法宝。所有的数据分级分类都按照这个指南来做。按照打咖给我们培训时候的说法,要做到合法合规可知、分类分级可识、使用流程可控、数据风险可察、管控提升可见。

数据分类分级,其中的关键也是组织结构,就是要明确对应的责任人。然后明确数据分级分类的标准,可以按照业务纬度,也可以按照数据属性纬度进行定级定类。在分级分类的基础上,所有对数据的访问、分发、使用都要遵从严格的流程,不同等级的数据所需要的审批人的权限也不同。数据等级越高,需要权限越高。

系统安全和网络安全大家都很有经验了,不过数据安全对大家来说估计都是刚开始做。这一点


用户头像

张老蔫

关注

还未添加个人签名 2020.04.03 加入

老蔫老蔫

评论

发布
暂无评论
安全第二话