信息安全从业人员工作总结.docVIP

信息安全从业人员工作总结 经过了凤凰网以及完美世界开发工作的锻炼，对于安全开发工作有了一些很好的认识，下面总结一下过去的经验和教训。 对于安全开发一定要有一套成熟度模型，例如公司刚开始做的时候定义的级别可以低一些，可做的事情要少一些。但是随着熟练程度的增加以及大家对于安全开发的理解的加深，逐步加深高级别的安全成熟度模型。 下面就简单介绍一下我心中的成熟度模型的相关控制，未分级大家可以依靠公司自己的特性来进行补充。 1. 管理安全控制 1.1 建立安全职责，目标就是组织中都明确自己的职责和责任 工作内容： a) 组织安全机构组织架构图例如信息安全委员会等等，这里一定要注意安全机构一定级别足够的高，例如属于董事会或者CEO下面 b) 文档化安全角色，职责，责任以及授予什么样的权限 1.2 管理安全配置 工作内容: a)系统中所有软件的更新记录，保证出现问题可以很快的追踪到相对应的版本以及回退 b)系统中所有问题的bug记录以及安全问题记录这样可以很好的知道现有系统所存在的风险 1.3 安全意识、培训 工作内容: a) 安全意识、培训的内容的有效性 b)跟踪用户对于培训和意识课程的理解 c)培训以及安全意识课程的资料收集，一定要来源与内部，当然也可以来源于外面的安全事件 1.4 管理安全列表 工作内容: a) 收集维护以及各个系统的日志 b) 敏感资产的详细清单 c) 安全控制失效的原因