新单位已经就位快5个月了,目前负责安全的就我一个人,公司已经具备一些基本的安全防御手段,比如防火墙、堡垒机、加密、杀毒等,曾做过明年一些项目预算,不过由于成本考虑,大部分都被否了。
这段时间从安全管理入手,整理了一堆文档,包括整体方案、规章制度和手册等,也在进行这些规章制度的落地,公司整体上看,其已有项目基本上都属于等保2级范围,无法强制推行一些安全技术,领导让我们准备明年的计划,目前想了解下,除了目前在做的这些和当前情况,应可以从哪些方面入手,咱们一年一年的安全计划都是如何做的?
看你明年的计划是想达到怎样的程度。为了等保达标还是为了实际的安全,个人经验来说。大多数公司领导对安全方面的投资都很吝啬,如果为了达到等保要求。那就按照等保的标准去规划,如果娃诶了实际安全。则线考虑自己的业务有那些,根据业务,需求来制定方案。对外的业务一般来说是防护的重点。特别是WEB服务器,WAF网关,防病毒网关,如果业务涉及到重要信息。则考虑加密设备,堡垒机,然后是对业务的备份,能够快速恢复业务。最好有一部分关于安全培训的投资。包括开发人员,运维人员的
收起