浅谈我的安全咨询经验
2023-9-14 18:16:33 Author: www.freebuf.com(查看原文) 阅读量:10 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

1设计依据

基于“XX(定义的规划名称,需要创新、霸气、贴合企业发展目标的)”设计的安全规划体系,以数字(近些年这块是最热门的)为核心的数据安全全生命周期防护体系,应用应用新兴技术,使得在“数字化”转型过程中获得新的发展动力,提升企业核心竞争力;

备注:以上是整个咨询规划的主旨做出的总结。

1.1、驱动力

  • 内因驱动

数字转型:以数字化转型为代表,融合企业IT能力和安全能力,进一步提升企业活力;

技术变革:云计算技术、5G技术、人工智能、大数据、量子密码登为代表的新兴技术,可提升企业生产效率;

  • 外因驱动

安全合规:比如等级保护2.0、密评测评、关键基础设施保护、分级保护;

黑客威胁:企业数字化资产价值凸显,以盗取有价值数据为主要目标;

备注:建议是与高层访谈结果为依据,确认整体内外部发展驱动力

1.2、价值力

  1. 打造业界领先的企业安全防护体系,树立行业标杆;
  2. 应对信息技术、新型攻击带来的安全风险,提升企业品牌价值;
  3. 保护企业敏感、有价值数据,为客户带来更优势的服务体验;

备注:以上就是做完整个咨询规划可产生的价值,需要自有发挥,以上只是例子。

1.3、约束力

  • 合规要求:列举需要满足的合规法律法规、评估能力等;
  • 技术要求:列举需要做的技术改革,比如安全中台、人工智能等;
  • 管理要求:形成多级管理制度:(战略方针)、(规范、程序、管理办法)、(细则、手册、指南)、(记录、表单);
  • 服务要求:形成工具为辅,人力为主的服务体系,包括重保服务、日常服务、渗透测试等安全服务。

1.4、设计思路

设计思路一般可以分为四层:

第一层 需求调研:

  • 规划范围:调研资产情况、安全能力情况、技术手段、网络拓扑图等;
  • 发展目标:时间日常工作中遇到的安全问题、上级部门的要求(集团规划等)、国家要求(等保、密评等);

第二层 安全架构

  • 安全架构:根据调研结果选择IPDDR/TOGAF/滑

文章来源: https://www.freebuf.com/consult/378128.html
如有侵权请联系:admin#unsafe.sh