公司(小作坊)想要建设安全相关的制度、条例、标准等等,需要输出一些关于安全方面文档,但自己对这方面不知从何下手,请问有没有比较成熟的方案或者类似可借鉴的
一、安全管理制度
二、安全风险管理计划
三、安全评审(如何安全评审,具体方案、其标准是什么)
四、安全预警(如何去做)
欢迎各位发言
首先,要招一个信息安全工程师
下面请楼下发言:
有点大。。老实说,真·小作坊花不起这个钱。搞个样子货也没啥意思。
单就安全制度来看,就应该分两层,国家安全制度(各类法律法规,涉外的还应该遵守当地的法律法规如 GDPR 之类)、公司安全制度(安全生产、值班、应急、审计、隐患排查、调查处理)等等。每个都有一大堆东西。
有了制度,得有组织吧,组织结构、职责得有吧,组织内每个人至少得有国家的安全人员从业资格认证吧。
组织有了,得出技术标准吧,安全开发、安全测试、安全运维标准等等得有吧。
标准有了,一些安全组件服务得提供吧,什么基本的 XSS 防御、验证码、数据清洗等等得有吧。
组件有了,得有个统一管理的平台吧等等。
平台有了,是不是也要把整个公司安全意识也要提升起来吧?是不是得组织下攻防演练吧,什么钓鱼渗透也得安排起来吧?
至于你反复提及的安全评审,首先你得保证评审人员有基本的安全素质,都不是安全领域的人,评审不出啥的。
综楼上所述,小作坊就努力活的更久完了,别瞎折腾,容易 godie
我们这边有安全部门,主要是他们从代码层面进行漏洞发掘,然后测试也会根据他们整理的一些方向进行业务层面的安全测试,还有一些漏洞发掘外包给 360 这样的大公司。安全部门那边还会配合测试搞一个安全测试用例,其他的我就不清楚了。
这个命题定得太大了,既然公司规模不是很大,就没必要追求面面俱到,要先看做这个事情的目的是什么,再来确定要做出什么结果。
如果只是想保证不出现安全维度的质量问题,我觉得最快的方式就是直接找乙方安全公司做全面的渗透测试。如果不想出这块费用,也可以拿市面上开源的现成工具扫一扫找问题解决。可以去 OWASP 上看看有没有你需要的安全标准(甚至是 Top 10 安全问题也可以当成是你们的安全标准),再找一些网上的安全编码规范给到研发,结合一些信息安全意识的条理和培训,我觉得就差不多了。
Ouroboros
回复
精彩的回答:公开可参考的制度 -> 落实制度的组织 -> 来源于组织的标准 -> 从标准中转化的技术能力和技术运营 -> 承载能力和运营事项的平台
