传统制造行业信息安全管理——企业信息安全技术规划
本文由
创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
前言:
制造业作为一个庞大的传统产业,涵盖了汽车、船舶、飞机、家电、新能源等众多领域。当前,无论是国内还是国外的制造业都面临着一个共同的挑战:在计算机和信息时代的背景下,如何跟上IT技术的发展步伐?如何让传统产业焕发出新的活力?为了应对这一挑战,制造业开始大量采用计算机技术和网络技术。
一家公司首先得了解公司主要业务和公司网络架构;之后就需要了解具体那些资产需要进行划分等级进行保护;信息安全自始至终都是在保护公司资产。目前发布第一章为信息安全技术规划。
通过信息安全 管理-技术-运营;三个方面进行深度讲解;
信息安全技术规划
1、根据实际情况评估定义企业目前处于什么阶段;可分为5个等级;
1级-安全建构 :规划、建立、维护系统安全只有简单的基础防护
2级-被动防御:不依赖人的应对安全威胁防御措施;消耗攻击力量,依据安全设备迟缓攻击。
3级-主动防御:有分析、监控、响应、学习和应用知识库等,有效对抗网络攻击者。
4级-智能防御:自动收集信息、挖掘有效信息,产生有用情报,自动防御。
5级-震慑与反制:合法的框架下有效对抗攻击者的措施及自我防卫行为。
2、信息安全技术管控体系设计概念
- 确定适用范围:需要明确信息安全管理体系适用的范围,这通常包括公司的所有职能部门以及可能与公司信息系统相连的外部机构,如供应商和合作伙伴。同时,还应考虑覆盖网络系统、服务器平台系统、应用系统、数据及安全管理等方面。
- 进行安全风险评估:安全风险评估是建立信息安全管理体系的关键步骤,它包括安全管理类和技术类的评估。安全管理类评估涉及ISO27001信息安全管理体系相关的11个方面,而技术类评估则基于资产安全等级的分类,对信息设备进行安全扫描和配置检查,以识别存在的弱点。
- 规划体系建设方案:在风险评估的基础上,提出针对企业中存在的安全风险的安全建议,增强系统的安全性和抗攻击性。
- 建设与运行信息安全体系:信息安全体系的建设应基于信息安全模型与企业信息化的基础,兼顾内外安全功能。可以从安全基础设施、网络、系统、应用等四个方面进行规划。
- 持续改
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
文章目录