【安全建设 | 从0到1】企业安全体系建设线路
文章目录
- 一、安全体系建设 v1.0 —— 快速治理
- 1.1 安全风险初现
- 1.2 配置合适的安全负责人
- 1.3 识别主要风险点
- 1.4 快速风险削减策略
- Web 安全治理(按优先级)
- 业务风控治理
- 移动安全治理
- 员工行为安全治理
- 口令安全治理
- 钓鱼与社工防御
- 合规治理
- 二、安全体系建设 v2.0 —— 系统化建设
- 2.1 基于 ISMS 建设信息安全管理体系
- 2.2 基于 BSIMM 构建安全开发工程能力
- BSIMM 简介
- 常见问题应对
- 2.3 构建可复用的技术安全架构
- 三、安全体系建设 v3.0 —— 全面完善
- 3.1 构建企业安全文化
- 3.2 构建安全韧性架构
本文围绕甲方安全体系建设的实践线路进行说明,内容分为三个阶段:
- 第一阶段:安全体系建设 v1.0 —— 快速治理
- 第二阶段:安全体系建设 v2.0 —— 系统化建设
- 第三阶段:安全体系建设 v3.0 —— 全面完善
一、安全体系建设 v1.0 —— 快速治理
在多数互联网企业中,业务发展往往快于安全体系建设。当业务扩展至一定规模、遭遇安全事件后,企业才开始在信息安全方面加大投入。此时的信息安全环境往往已积重难返,安全已无法作为业务发展的有力支撑,处于严重滞后状态。
1.1 安全风险初现
此阶段常见的安全问题包括:
- 内网存在大量弱口令、系统未及时打补丁;
- 线上业务存在常见漏洞;
- 员工安全意识薄弱;
- 数据泄露频发。
企业需要以“救火式”的手段快速介入,从成本低、见效快的措施着手开展治理。
1.2 配置合适的安全负责人
早