百家 | CSO养成:如何运行企业信息安全管理体系?
“百家”,对安在来说不算是新栏目,比如早前我们曾开设过的专家专栏,但算是又一次的开始,这意味着我们将以更开放和更包容的方式让网络安全“诸子百家”们“百花齐放”,他们是各个行业代表性企业的CSO、安全骨干,是业界大咖、专家,是思想者、实践者和分享者。为此,安在将会持续呈现来自“百家”们的最佳实践和真知灼见。
本期“百家”分享者,长期奋战在网络安全实践一线,现任某芯片设计公司信息安全总监。他的CSO系列文章最初发表在“安全村”(www.sec-un.org/)。
truebasic,经历复杂,当过开发、项目经理、创业者,“误入”信息安全行业12年,科技研发型企业甲方经历为主。希望成熟的甲方一起来带动乙方市场的健康成长,故有此CSO系列。期待与甲乙方同行多交流、共成长。联系邮箱truebasic@outlook.com。
01
为什么要有信息安全管理体系?
从CSO的角度看,信息安全工作是一项管理工作还是技术工作?
当然是管理工作,即便CSO的工作量主要投入在技术方向上,它也还是一项管理工作。
为什么,因为技术工作也是需要基于框架、架构和方法论,这些框架、架构和方法论能够保障信息安全工作按照正确的方向前进、并提供企业所需要的价值,这些框架、架构和方法论在我看来就是管理体系。因此,CSO的工作范围之内必须要有信息安全管理体系。
选择哪个管理体系来作为团队运作的基准呢?如果是我,首选是ISO27001。原因嘛,一是只会这个,二是“PDCA”的思想方法深深吸引了我,在下面的内容中会看到,我并不会提到什么ISO27001的控制点,其核心思想就是“PDCA”。
02
信息安全管理体系包括了哪些要素?
根据以往的工作经验和认知,ISO27001:2013版的13个安全域的划分对于老板、管理层来说过于专业和晦涩,我把它重新做了划分。
以上划分的依据就是“如何评价一个企业的信息安全做的好不好?”篇章里面提到的评价标准,然后略微加了2点。这样做的目的就是最终保证管理体系和评价标准能够对的上。看出来没有,为什么我要把评价方法写在前面?因为后面最终都要和评价方法挂钩。如果你的工作最终无法评价、无法让客户和老板看懂、接受和认可,作为一个CSO是失职的。下面分别讲讲这几部分的运作。
03
信息安全组织运作
有人可能会觉得很奇怪,为什么第一个段落是“安全组织”?CSO得有人有枪才能开展工作对不对?有了人之后的第一件事情是什么,就是定组织架构、职能。这就是安全组织运作的一部分哪!
我这里定义的安全组织包括几部分:
(1)信息安全专职人员,通常是CSO直属管理的人员;
(2)企业内信息安全兼职人员(很多公司会称为“部门安全员”“安全管理员”)、信息安全团队的兄弟部门;
(3)企业内的安全委员会;
(4)外部专业力量,包括外包团队、供应商。
(1)无论金融业、科技研发型企业,现在大多把企业内部的信息安全组织分为3层:决策层、管理层、执行层(叫法上、人员组成上大同小异,就不一一剖析了)。决策层通常是老板,或者是多个高管组成的委员会;管理层通常是信息安全团队;执行层通常是企业内兼职安全人员、兄弟部门组成。
这些其实都是信息安全团队的资源部门,CSO大概无法决定决策层的人员构成,但是一定可以决定执行层的人员构成;按照HR的“选育用留”的理念,选拔有意愿、有主动性和热情的人参与进来更加重要,因为能力是可以培养的,而意愿和热情却很难被激发。
关于管理层、通常就是CSO直属的专职信息安全人员的职责划分,只强调一点:一定要关注PDCA的职责明确,要让PDCA这个过程在组织内部通过职责、流程运转起来。
(2)人有了,下面要做的就是安排任务、干活?NO!首要关注的应该是如何让组织内的人具有共同的目标,并且愿意为了共同的目标而奋斗。因此这时应建立运作和激励机制。
运作机制就是这几个组织的运行方式,通常就是定期开会、日常沟通报告,不要小看这些动作,它是组织存在和运转的有效手段;通过开会、沟通过程中不断地传达组织的目标,也可以对组织内人员达到宣贯、激励的作用。激励机制就是对组织内人员进行(正向、负向)激励的方式和资源保障,通常就是各种物质和精神激励,包括各种奖惩;我个人比较喜欢正向激励、奖励。
很多企业在信息安全工作的开展过程中,会使用外部专业力量、供应商,但极少将之视为信息安全组织的一部分,这里我提一个仍在运用和不断成熟中的观点:“找到2-3个合适的供应商,将之视为自己的战略合作伙伴,并在信息安全工作中共同成长。”具体内涵大家可以先琢磨,我先不展开叙述。
(3)人有了,组织职责明确了,运转机制也敲定了,下面要注意什么?提升组织成员的个人能力!通过沟通汇报、呈现同行信息、通报信息安全事件、重大事务决策等过程提升决策层对信息安全的认知、重视程度,通过内训、外训、实战、以老带新的方式提升管理层和执行层的实战能力。
04
建立和优化安全基础设施
信息安全管理体系如果是个金字塔,那么它的基石有三个,“安全组织”、“IT基础设施”和“体系文件”。后两个就是这里要讲到的“安全基础设施”。
(1)IT基础设施:这个很好理解。虽然是“3分技术、7分管理”,但是对很多企业来说可能70%的的工作量都在IT领域,这也是正常现象。信息安全工作的开展其实和IT工作关系密切,因此我建议CSO及其团队成员深度参与到IT架构的设计、IT部门的年度规划,以及重点的IT项目。对于不重点参与的IT项目,也要在项目和系统的需求分析、架构设计、部署上线3个环节进行评审和把关。
(2)符合ISO27001要求的体系文件
为什么要有体系文件?我觉得核心原因是几个(1)这是书面发布的规则,是后续执行和检查的依据;(2)编写体系文件的过程也是对自身信息安全管理体系检查的过程,通过这个过程可以查漏补缺。至于如何编写体系文件、如何编排文件层级和内容,过于庞杂就不详细叙述了。
每个企业在这方面可能往往面临一个问题:什么时候发布体系文件是最恰当的?早了,各方面还不成型,文件没啥用;晚了,各方面都已经定型,文件没用上。
对此我的回答是(1)可以请咨询公司、同行帮你把个关,向别人学习必有好处;(2)只要员工和老板对信息安全已经有初步的认知,IT在终端、服务器、网络、应用系统已经采取了基本的安全措施并运行过2年以上,就可以启动体系文件的工作了。体系文件不要指望一步到位,往往需要3-5年的实际运作才会完善完备,这个迭代优化的过程,其实就是决策层、管理层和执行层不断能力提升、意识的过程。
05
业务安全和流程嵌入
(1)什么叫“业务安全”?怎么做、达到怎样的状态能够叫业务安全?
在第一篇“名词定义”里面有过简单讨论,后来得CMB的邱哥一句话指点,顿时醍醐灌顶:“业务安全就是让业务能平平安安地赚钱”。
但是这句话在不同的行业、企业里面,内涵肯定是不一样的,一方面看行业形态,一方面看老板对业务安全的理解和定义。O2O行业里面,业务安全就要对抗薅羊毛、虚假注册和盗刷;金融行业里面,业务安全就要对抗虚假身份、虚假交易、支付逻辑漏洞被利用;互联网行业里面,业务安全就要对抗欺骗用户、防止黄赌毒信息的泛滥以及反入侵;科技研发型企业里面,业务安全就要做到业务活动灵活开展,核心信息不泄漏,在科技研发型企业里面,“数据安全”≈“业务安全”。
(2)如何做好业务安全
首先要明确一点,信息安全团队对“业务安全”是有职责义务的,而且要深度介入。这是信息安全团队最终的价值体现。
其次,定义好“业务安全”的内涵和边界,并在业务过程中动态优化。对于所有的行业、企业来说,依据3个原则去定义:
第三,找到合适的既懂业务、又懂安全的人,作为业务和安全团队之间的桥梁,以帮助安全团队理解业务并最终通过恰当的管理和技术手段帮助业务。如果实在找不到这样的人,要么就培养安全团队的人懂业务,要么就建立安全和业务的沟通机制、提升互相理解和互相支持的速度。
最终达到的效果不但是安全团队的人非常懂业务、知道哪里可能有风险、应该采取什么措施,而且安全团队的人要能够形成自己的独立判断能力和预判能力,而不只是对业务的要求唯唯诺诺。这个地方其实非常考验CSO,因为每个行业的专业知识其实都是有学习周期和学习成本的,想在1、2个月内快速掌握一个新行业是不太可能的。
第四,找到并落实恰当的风险控制点。风险控制点可以在流程中,可以在技术环节,可以是一个可靠的人。
比如
·
公司所有的流程文件、制度发布前必须经过信息安全的评审和会签,确保其符合安全要求;
·
办公、研发用终端在交付用户使用之前,流程上必须经过IT装机;IT装机采用了自动化手段,装机模版所使用的镜像经过信息安全定期检查,保证配置合规;
·
对互联网发布的业务功能,在发布之前必须经过源代码扫描和安全工具的配置检查,合规后才可以部署上线;
·
项目招标文件尤其是报价表在公司内打印时,必须有项目组项目经理和项目安全管理员双人在场监督、并填写监督记录表,确保报价不会泄露;
06
人员意识提升
(1)为什么要如此重视人员意识?如何提升人员意识?
人是信息安全中的重要一环,甚至是最重要的一环。尤其是无法用技术、工具解决所有信息安全风险的企业环境,人的重要性就凸显而至。无论信息安全的成熟度发展到哪个阶段,人员意识提升都是必须持续开展、坚决投入资源做的事情。也不要把人员意识提升简单地等同于培训。具体请参见我之前发表的“我眼中的信息安全意识教育体系”。
(2)安全事件、奖惩机制在提升人员意识中的重要作用
有过企业内训经验的安全人员都会有这个体验:在做信息安全培训的时候,讲项目、讲理论、讲要求的时候听众总是索然无味,一旦开始讲故事、讲身边发生的信息安全事件,听众就会瞳孔放大、全神贯注。为啥?因为人的天性就是喜欢听故事,听生动有趣的故事。这里就讲到第二篇里面的“驱动方式”了,事件驱动的安全教育方式在企业里面一定不能缺少,而且要不间断地运用。
同理,我观察到,大约90%的员工对于信息安全处罚(尤其是全公司公布的处罚)往往反应强烈,会表达关注、关注对自己后续操作的影响;对于信息安全奖励,只有当额度较大的时候才会表达关注,而小额度的信息安全奖励似乎精神激励的性质更加显著。根据企业的实际情况,运用好奖惩机制也会很好的提升人员意识。
07
审计、运营和改进
终于轮到PDCA里面的C和A了。
审计人员的职责是及时发现信息安全工作过程和效果中存在的问题,并通过安全组织的运作,推动问题的解决、信息安全风险的有效控制,属于事后措施。
运营人员的职责是通过工具和控制措施(比如流程)的执行,纠正业务发生过程中的风险和问题,属于事中措施。说的通俗一点,制订的安全策略有人在执行、负责过程中的改进,属于“运营”;检查安全策略有没有被执行、执行效果好不好,则属于“审计”。两者都属于纠正预防措施,且最终保障PDCA形成闭环,运转好的话,可以形成螺旋式上升。
常见的“信息安全审计”包括
(1)访谈和走查为主要形式的内部检查;
(2)渗透测试;
(3)后台安全工具审计或运营;
(4)外审。
常见的“信息安全运营”包括
(1)信息安全防护工具的使用、问题处理;
(2)信息安全事件的响应和处理;
(3)业务流程中的信息安全审核、检查;
运营过程中发现的问题,运营人员可能就会及时处理、关闭;审计过程中发现的问题,往往不应该是审计人员负责解决,但审计人员有责任跟踪到底、确保这些问题按照组织要求被关闭。这时,CSO应打通团队内部流程,把运营、审计中发现的重大或共性问题及时反馈到Policy端,组织改进、实现纠正预防。这样才能实现完备、及时的闭环。
08
如何运转体系中的这些要素?
以上描述的这些要素,并非要一股脑一起上,体系的建立和完善是一个循序渐进的过程,节奏要看企业的实际情况。这里提我的一些思路供参考
(1)首先抓IT基础设施建设,开展人员意识教育,抓1-2个审计工具在手中;
原因:人员意识不可少,从无到有做起来;有审计工具在手,就可以有效地发现信息安全事件,进而以事件驱动信息安全建设;IT基础设施应该最早开始抓,因为IT架构对信息安全架构的影响太大,越早介入越好。
(2)然后抓IT基础设施的完善,同步完善防护类措施和审计类措施;
原因:IT基础设施的完善需要至少3年时间,所以需要持续开展;安全意识教育也要持续开展,就不赘述了;事件驱动后就要开始防护类工作;
(3)然后建立信息安全文件体系,建立信息安全管理员队伍,开展审计和运营;
原因:IT基础设施及其措施已经有雏形之后,就可以开始建立文件体系了,这样才能把安全的框架搭好;部署安全工具、制订安全策略之后就要立即开始审计和运营,保证每一个工具和策略是有效果的;组建安全管理员队伍,以便在业务一线形成影响力,同时了解和熟悉业务;
(4)介入到业务安全,在业务端发挥更大的价值
原因:信息安全的架构、基础设施和安全组织已经基本就绪,就需要在业务端发挥更大的价值。
中国网络安全新媒体联盟,由聚焦网安行业的包括安在、E安全、Freebuf、看雪论坛、数说安全、安全村、网安视界、游侠安全网、一本黑等在内的新媒体或自媒体共同发起成立,同时有《中国信息安全》顾问支持,是非营利非实体性质的新媒体联络协调和合作互助机制。
”人物 ∣ 热点∣ 互动 ∣ 传播
投稿及商务合作请在后台回复关键字即可