前言
网络安全架构是按照现有网络安全需求整理,通过多个维度展现。本文章主要介绍网络安全架构中的安全管理,其他维度的详细介绍前期已更新,敬请关注微信公众号浪飒sec
安全管理概述
安全事件的发生是安全因素和脆弱性作用的结果,而安全威胁因素和脆弱性都是可以用管理来控制的,建立并保持工作环境、工作任务和工作人员间的协调性是安全管理的任务。
企业安全管理涉及因素有人、物、环境的行为与状态,实现管理与控制。在实施安全管理过程中,为有效的控制好安全管理影响因素,必须正确处理两种关系。
- 安全威胁因素与脆弱性
安全事件的产生是安全威胁因素和脆弱性共同碰撞的结果,通过控制安全威胁因素和脆弱性可有效预防安全事件发生。
- 安全与生产
在生产环境中,人、物、环境处于危险状态,生产将无法正常进行;若无生产,安全因素的存在也将失去其意义。当生产与安全发生矛盾时,生产活动停止并消除危险因素后,生产才可以安全进行,生产有了安全保障,才能持续、稳定发展。
制度管理及标准规范
安全生产管理标准是一系列为了保障安全生产而制定的条文,存在的目的主要是为了控制风险,将危害降到最小,安全生产管理标准也可以依据风险制定。
| 条文名称1 | 条文名称2 | 条文名称3 | 条文名称4 |
|---|---|---|---|
| 授权和审批管理制度 | 物理安全管理规范 | 设备操作规程 | 访问记录表 |
| 人员管理制度 | 主机安全管理规范 | 办公环境保密管理规程 | 机房出入登录表 |
| 信息安全培训管理制度 | 应用安全管理规范 | 信息系统风险管理规程 | 资产清单 |
| 外部人员访问管理制度 | 网络安全管理规范 | 配置变更管理规程 | 机房巡检记录表 |
| 工程实施管理制度 | 数据安全管理规范 | 保密管理规程 | 通用申请审批表 |
| 机房安全管理制度 | 安全检查规范 | 信息安全应急预案规程 | 通用变更记录表 |
| 设备管理制度 | 安全管理规范 | 安全事件管理规程 | 保密协议书 |
| 账户/口令管理制度 | 资产销毁记录表 |
组织架构
组织结构是对组织的组成要素和它们之间连接方式的展现,它是根据组织目标划分管理层次、确定组织系统、确定合理的组织结构形式的过程。完善的组织架构能够直观确定战略归属、部门间的组合、部门职能、授权路径、管控跨度等。
组织架构设计八大原则
- 服务战略和目标原则
组织架构的功能结构应当确保企业战略和经营目标是可实现的。
- 专业化原则
组织架构应当体现专业化分工原则,以便提升效率,降低人员匹配的难度。
- 统一管理原则
组织架构应当确保一个岗位收到的同一类事务指令是统一的,避免政出多门,多头领导。
- 分工协调原则
以专业化分工为原则划分组织职能,即一个部门承担的职能应当是比较集中,比较少的,如果职能跨度太大,则很难找到能够胜任的人员来完成部门的工作。除分工原则外,还应当体现协调原则,即部门边界的确定应当便于业务活动的上下游衔接,关键流程的接口应当清晰。
- 有效管理幅度原则
不同层级的管理者能够有效管理的下属数量不同,需要根据公司的管理工作难度等情况来确定。在互联网技术被越来越多应用于业务沟通的背景下,有效管理幅度也在扩大。
- 层级原则
组织应当是有层级的,层级体现的是目标的分解原则,不同的层级对应不同的责任、权力和能力要求。通常,组织的层级越多,指令的传递链条就越长,组织运作的效率也会相应的降低;因此在组织设计的时候应谨慎地评估层级设置的合理性,当前越来越多的企业追求扁平化的组织, 就是为了提升组织对外部变化的响应速度。
- 集分权原则
为了兼顾组织运行的效率和风险管控,应当将业务中的日常事项和重大事项区分开来。对于日常事项,尽量通过分权来实现组织的例行管理,而对于重大事项和例外事项,应当保留组织集中讨论决策的权力。
- 责权对等原则
组织的职能划分就是一种责任范围界定,同时也必须明确完成这些责任的部门应当被授予的对等权力。
完善的组织架构能够有效进行权责划分,借助完善的架构层级审批流程降低安全事件出现的概率,从而更好的实现企业安全管理。
人员队伍建设及管理
建立和完善人才培养机制,制定关键岗位人才选拔计划、在职培训等方案,合理建立人才梯队,能够为企业可持续开展及管理提供强有力的支撑,同时制定周期全员安全意识培养,提升全员对安全知识的了解和掌握,从根本上降低因为人员引起的安全事件。
总结
完善的安全管理机制能够有效减少和杜绝网络安全事件的发生,按照企业完善的管理流程执行,降低安全事件发生概率。
本文链接:https://blog.langsasec.cn/index.php/2023/02/01/secjg6/
版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
