信息安全体系建设,七分管理、三分技术。关于信息安全的管理,之前有篇幅做了小部分介绍:
-
1、抛开技术要求,金融行业信息安全的管理要求有哪些?
-
2、运作机制,才是信息安全治理的灵魂
信息安全的管理体系构建,可以iso27001的标准要求为基础,实施体系化导入、实施、运作。ISO27001标准包含了14个域,非常全面也非常丰富。关于导入指导,这里不再展开,可参看另一篇文章:
-
信息安全ISO27001体系建设指导——方法论&框架&步骤
今天,重点放在信息安全的技术体系,介绍的也是干货——技术框架。本人从业信息安全多年,但仍然会时不时的拿出管理框架和技术框架,对组织当前信息安全的体系构建,做复盘和检验。OK,直接技术框架图例:
信息安全技术框架
此技术框架图,从信息安全管理的六个维度,全方位给出技术方案:
终端管理办公PC、办公虚拟机、办公笔记本电脑、移动终端、打印机、传真机等。
应用管理信息系统(OA、ERP、SRM、……),公司官方网站、网上商城、移动APP、业务信息系统、运维管理系统、代码管理系统等。
系统管理主机、存储、备份设备,操作系统、中间件系统、备份系统等。
网络管理骨干网、城域网、局域网、虚拟网等等。
数据管理数据库数据、文件数据、影像数据等
物理管理IDC机房、配线间、办公区域、文印区域、监控室、弱电间等。
结束语:信息安全技术体系框架,虽然按照模块划分,有不同的解决方案,但相互之间有着千丝万缕的关系,且相互影响相互作用。技术为管理服务,脱离管理的技术,如空中楼阁,借此也再次强调:信息安全七分管理、三分技术!
信息安全不容忽视
,
