还剩16页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
it个人年终总结开头写对于安全开发一定要有一套成熟度模型,例如公司刚开始做的时候定义的级别可以低一些,可做的事情要少一些但是随着熟练程度的增加以及大家对于安全开发的理解的加深,逐步加深高级别的安全成熟度模型下面就简单介绍一下我心中的成熟度模型的相关控制,未分级大家可以依靠公司自己的特性来进行补充
1.管理安全控制
1.1建立安全职责,目标就是组织中都明确自己的职责和责任工作内容a组织安全机构组织架构图例如信息安全委员会等等,这里一定要注意安全机构一定级别足够的高,例如属于董事会或者CEO下面b文档化安全角色,职责,责任以及授予什么样的权限
1.2管理安全配置工作内容:a系统中所有软件的更新记录,保证出现问题可以很快的追踪到相对应的版本以及回退b系统中所有问题的bug记录以及安全问题记录这样可以很好的知道现有系统所存在的风险
1.3安全意识、培训工作内容:a安全意识、培训的内容的有效性b跟踪用户对于培训和意识课程的理解c培训以及安全意识课程的资料收集,一定要与内部,当然也可以外面的安全事件
1.4管理安全列表工作内容:a收集维护以及各个系统的日志b敏感资产的详细清单c安全控制失效的原因以及解决方案
1.5风险评估工作内容a识别安全运维过程中的风险b识别安全开发过程中的风险c定义组织内统一的安全度量标准
2.协调组织内的安全角色
2.1定义协调的最终目标工作内容:a信息共享的途径,例如___门一定要建立漏洞管理数据库保证研发、运维部门第一时间得到这些信息,最重要的是要得到他们的相应,从这些响应中得到相对应的流程,进而推动了___门的地位,最重要的是保证了安全问题第一时间得到修补b各个部门定义安全员,这样做的目的可以让他们在内部帮我们推动安全相关流程
2.2协调机制工作内容:a一定要定期或者非定期的进行安全沟通,这样做的目的是第一时间得到他们对安全的理解和认识,如果他们出现错误的认识我们要及时的进行更正,让他们可以按照我们的想法走b一定要注意跟外部安全专家以及安全公司的交流,这样做可以第一时间得到最新的安全漏洞以及安全解决方案
3.组织内部建立安全监控
3.1事件记录工作内容:a一定要记录到每个安全事件的详细内容,这样做可以形成组织内部的问题管理库组织第一次发生...。