前言
先做个简单的自我介绍,本人新疆人,高中不是很努力,好在选择了信息安全专业,16年本科毕业凭借单身数年的好运进入了某信息安全厂商新疆办事处,在厂商期间做了不同企业的风险评估、IS审计、产品解决方案部署等项目,在新疆这个地方感觉已经能看到行业和个人的天花板。
21年决定南下去了一家世界五百强,接触了不一样的企业安全,一年后无法忍受企业疯狂裁员决定自离,无缝衔接去了四大base在上海,做了不到6个月,很难进入四大的工作状态,一冲动2月又辞了就此赋闲在家。
无业的七个月里,有过无所事事犹如死狗瘫痪在家,也有过慌不择路疯狂投简历,期间也拿到一些offer,7月认识了一位极为负责的猎头顾问,在她的沟通和帮助下明确了自己想要什么、职业规划等等,拒绝了很多有的没的offer,最后找到了最合适的offer,一家德国外企负责整体信息安全。
初入企业
作为一名安全人员进入一家新企业,很容易将过往的实践经历和行业最佳实践经验带入新的岗位中,虽然这种做法很容易发现差距,但很多时候不适合当前企业状况。
这种情况我们需要逐步开展工作,而不是根据经验急于求成。
第一步:与IT总监沟通了解当前企业最急迫的安全需求及正在进行的项目;
第二步:与Infra沟通了解网络架构及当前安全策略(这家企业第一次设置安全岗位,过往均为Infra兼任);
第三步:与应用Owner沟通,了解当前业务状态(如果正好碰到内审之类的一定要参与进去,能够更快了解安全状况);
第四步:根据实际项目与一线业务人员、合规部门、法务部门沟通(了解业务流程、业务需求、合规/法务需求)。
安全项目
根据前三步的沟通很快能够知道自己需要做什么,先顺着做,顺利开展工作后再考虑体系化安全。
灾难恢复安全标准
安全是为保障业务服务,保障企业高效连续发展,因此企业灾难恢复计划是一项对企业来说至关重要的策略和计划,以下列出了一些与灾难恢复相关的安全标准,企业应根据所处行业、国家的情况选择合适的安全标准。
国家 | 相关标准 | 相关条款 |
---|---|---|
英国BSI | ISO/IEC 27031"业务连续性管理体系" | 帮助组织建立、实施、维护和改进业务连续性管理系统(BCMS) |
英国BSI | ISO/IEC 24762"IT-灾难恢复服务" | 支持ISO/IEC 27031,并提供关于选择恢复策略、设计恢复安排并实现恢复解决方案的具体方针 |
美国国家标准和技术研究所 | NIST SP 800-34"业务连续性计划大纲" | 为联邦信息系统定制应急计划的指导,但其内容也在非联邦和私营部门得到了广泛应用 |
美国ISACA | COBIT 2019 | 提供IT灾难恢复控制目标 |
信用卡公司联盟 | PCI DSS"支付卡行业数据安全标准" | 支付卡行业有关于灾难恢复、业务连续性相关的内容 |
美国国会 | HIPAA"健康保险可携性和责任法案" | 明确要求医疗服务提供者和公司实施灾难恢复计划 |
中国 | GB/T 20988—2007"信息安全技术 信息系统灾难恢复规范" | 信息系统的灾难恢复工作,包括灾难恢复规划和灾难备份中心的日常运行 |