安全第二话
昨天讲到了安全相关的一些点,实际上安全相关的更主要的是流程和制度相关的。所以今天写一个第二话,讲讲安全的制度和流程。安全体系里最关键的是要成立安全领导小组,而且要高管是负责人。
从管理规范性上,公司应该建立以下相关的安全制度。:
总纲类文件
信息安全整体制度和安全策略
信息安全工作管理制度
信息安全工作管理流程
单项文件
员工安全保密培训制度
网络安全制度
数据安全制度
办公场所安全制度
机房安全制度
预警 &处置类
安全预防制度
安全事故处理流程
完成了上述的文件,基本的安全架子就搭起来了。从技术角度讲,更关注的是其中几点:网络安全、系统安全、数据安全。系统和网络的安全内容大部分都在昨天的内容里提到了。特别再说说数据安全。
数据安全
数据安全里最核心的是数据的分类分级,这个国家出台了一些国标的参考文件,例如我们这个行业的 JRT 0197-2020 金融数据安全 数据安全分级指南。这就是我们现在的法宝。所有的数据分级分类都按照这个指南来做。按照打咖给我们培训时候的说法,要做到合法合规可知、分类分级可识、使用流程可控、数据风险可察、管控提升可见。
数据分类分级,其中的关键也是组织结构,就是要明确对应的责任人。然后明确数据分级分类的标准,可以按照业务纬度,也可以按照数据属性纬度进行定级定类。在分级分类的基础上,所有对数据的访问、分发、使用都要遵从严格的流程,不同等级的数据所需要的审批人的权限也不同。数据等级越高,需要权限越高。
系统安全和网络安全大家都很有经验了,不过数据安全对大家来说估计都是刚开始做。这一点
评论