上个月微盟系统被员工删库,连备份的数据库都给删除了,造成公司赔偿1.5亿。可见微盟公司几乎是没有安全管理。小公司没有安全管理,可能损失小,影响不大,但是有点规模的公司如果没有安全管理,轻则巨额赔偿,重则牢狱之灾,公司破产倒闭。
下面分享一下我在之前的一家上市公司所做的安全管理流程及制定经验,期望能帮助到大家。
系统上线升级流程
为了保障线上系统的稳定可用,因此,设置了必要的技术审核和安全审核。安全验收测试不通过的,不允许上线。现在国家等保要求越来越严格了。
项目下线流程
一些公司网站被攻破了,才知道自己挖的坑。以前早就不用的域名或者系统没有及时关闭,给黑客开了方便之门。因此,对于临时搭建演示用的对外网站或者系统,以及项目终止的系统都应该走流程下线。
下线是有一系列的工作要做的,绝非简单的关停网站。通俗地说就是把当初运维做的一些操作反过来做一遍。比如,关停应用、关闭端口、关闭域名、销毁数据等等。
网络策略调整流程
对外开放端口这种事一定要审核。遵循默认原则,无业务需要,应禁止对外开放任何端口。
网络策略调整包括NAT映射、域名开通、端口开通、主机外网权限开通及相关变更。
并且需要定期审计。有了流程就需要有监管。
数据提取流程
企业数据,任何提取都应当有此流程监管控制,有记录可查。涉及用户敏感信息,那更应该严格落实流程。毕竟现在数据泄露事件频出不穷,没有尽到保护用户敏感信息的义务,将会让企业面临监管风险,甚至法律风险。
数据清理审批流程
任何线上的数据,清理都应该严格审批。通过对脚本的审核,防止误删数据。通过测试验收通过才允许关闭工单的步骤,确保即使误删,也能及时发现并回滚。
大数据应用系统账号权限申请审批流程
大数据应用系统涉及到太多的数据,一般都会包含敏感信息,账号权限管理是防止数据从内部泄露的关键。
IT安全管理流程推行不是一件容易的事,要多进行有效沟通。企业人员的安全意识是门槛。IT安全管理流程也应该与时俱进,跟随企业的发展进行及时调整。毕竟安全管理流程对于企业来说,是保驾护航,不是用来妨碍业务的。一般安全事故是推行安全管理流程的契机。这是否一种悲哀。只有经历教训,才能成长和接受。http://www.jingyanzhinan.cn/article-10044-1.html以上内容就是关于【网络信息安全管理流程有哪些? 】的指南经验分享;您也可以通过下方的评论互动,发表您的意见和观点,让更多人通过生活指南经验分享因之受益,让生活变得更简单。
