安全负责人应该具备的知识体系分为:组织领导能力、战略规划、安全管理、风险管理、安全技术等五个部分
组织领导能力:团队人员管理
战略规划包括:战略思维、理解业务、战略预测、制定战略、战略架构、制定目标、分解目标等
安全管理包括:安全体系ISMS、法律法规、安全运营、安全运维、资产管理、人员安全管理、安全意识和培训、组织机构建设、安全策略体系等
风险管理包括:风险管理组织、信息安全风险管理准则、风险范围和边界、风险评估、风险处置、信息安全风险沟通、风险监视与评审
安全技术包括:攻击技术(互联网攻击、内部攻击、社交攻击)、防御技术(基础设施安全、通信与网络安全、计算环境安全、应用程序安全、数据安全)
这里面很多词汇其实并不难理解,这里仅介绍下风险管理和网络安全理念和技术两块
风险管理:
风险管理是指识别企业的信息资产,评估威胁这些资产的风险,评价假定这些风险成为事实时企业所承担的灾难和损失,并采取一些解决方案以预防风险的发生及进行损失补救,风险管理是企业安全管理的核心。
要执行风险管理,首先必须熟悉本单位的核心业务(如业务的流程、边界等),并识别关键信息资产,如哪些业务是关键的,需要采取高强度的防护措施进行防护;哪些业务是次要的,防护措施的强度可以低一点。同时,要了解业务系统安全与运行质量性能的关系,以避免为了提高信息安全而大幅度降低网络系统运行的质量和性能。因为网络安全是为信息化服务的,而信息化最终是为企业业务稳定持续发展服务的。
其次,要制定一个风险管理策略,该策略是企业整体安全策略的组成部分。风险管理策略需要明确风险处置的几种方式,如降低风险、转嫁风险、接受风险等。因为安全是相对的,对风险的处置应该有一个度,如果风险处置的费用超过了系统本身的价值,则消除风险就毫无意义了,因此,应制定一个合理的风险管理策略。
网络安全理念和技术:
安全负责人应对安全理念如信息安全模型、国际和国内安全标准有较深入的认识,安全标准包括安全策略的标准、安全评估的标准、安全产品选型的标准、安全工程实施的标准、安全管理的标准等,了解这些安全标准可以更好地实施网络安全建设。除此外还应熟悉常用的安全技术和安全产品,如防火墙、防病毒技术、加密技术、物理隔离技术等,了解它们的原理和部署等知识,这可以提高自身的素质,并树立自己在企业中的威信。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)