新单位已经就位快5个月了,目前负责安全的就我一个人,公司已经具备一些基本的安全防御手段,比如防火墙、堡垒机、加密、杀毒等,曾做过明年一些项目预算,不过由于成本考虑,大部分都被否了。
这段时间从安全管理入手,整理了一堆文档,包括整体方案、规章制度和手册等,也在进行这些规章制度的落地,公司整体上看,其已有项目基本上都属于等保2级范围,无法强制推行一些安全技术,领导让我们准备明年的计划,目前想了解下,除了目前在做的这些和当前情况,应可以从哪些方面入手,咱们一年一年的安全计划都是如何做的?
简单聊聊,做安全管理,规划非常关键,一般来说非互联网企业的安全工作,很难独立成一个体系,一定是依附公司的战略发展,信息化建设,所以在做规划之前,一定要充分了解公司的发展方向,信息化建设目标,根据这个来确定你做安全的目标,到底是保障公司数据安全,业务安全,还是合规需求等等,确定清楚再来考虑怎么做。
第二个,看你的描述,预算有限,那一定要把有限的预算要用在关键点上。确定了目标,根据实际情况做一个整体安全评估,你的需求就出来了,这样子的需求你提上去也比较有说服力。
看你明年的计划是想达到怎样的程度。为了等保达标还是为了实际的安全,个人经验来说。大多数公司领导对安全方面的投资都很吝啬,如果为了达到等保要求。那就按照等保的标准去规划,如果娃诶了实际安全。则线考虑自己的业务有那些,根据业务,需求来制定方案。对外的业务一般来说是防护的重点。特别是WEB服务器,WAF网关,防病毒网关,如果业务涉及到重要信息。则考虑加密设备,堡垒机,然后是对业务的备份,能够快速恢复业务。最好有一部分关于安全培训的投资。包括开发人员,运维人员的
收起