诸子云 | 上海活动:不“搞定”领导怎能做好网络安全?
对于网络安全工作者来说,信息安全等级保护无疑是安全工作计划里亘古不变的常客。但是,客观来说,虽然我们一直在强调等保工作的重要性,却始终没有将其放在重视的位置上,而只是当做满足监管需要的“及格答卷”。
信息安全等级保护制度从2007年实施至今,已经走过了11个年头。尤其是自《网络安全法》颁布之后,等保正式跨入了全新的2.0时代,并发生了突破性的进展——不仅体系得到了极大的升级,更上升到了法律的层面,等到的重要性达到了空前的高度。同时,等保还为移动互联、云计算、物联网、大数据等新的业务环境提供了新的安全建设标准和指导。
同时,在开展等保2.0的工作中,安全人难免会遇到领导不够重视、不够理解甚至质疑安全工作价值的情况,这不仅会影响等保等安全工作的落实,更容易产生内部的矛盾与隔阂。所以,如何有效和领导沟通,学会沟通的艺术,也是安全工作者亟需掌握的技能。
面对当前的环境和需求,为了进一步探究等保2.0提出的新变化、新趋势和新挑战,加深安全工作者和领导之间的理解和协作,3月9日,在陆家嘴软件园,安在新媒体举办了“诸子云——走进民营银行”系列沙龙活动。
本次活动有幸邀请到诸多重量级嘉宾,如星展银行、上海御付信息科技、中国银行、米思米精密机械、海通证券、麻袋财富、浦东机场、中国电信、雷诺日产联盟、天翼电子商务、东方航空、山鹰国际、宝尊电商、平安科技、甜橙金融、汇丰银行、光大银行、上海电信、盛付通、国科量子、公安三所、华瑞银行、金拱门、中银证券等企业安全专家、安全部门负责人和技术骨干的参与,聚焦等保2.0的解读,进行了一次干货满满的交流体验。
活动开始,华瑞银行信息科技部安全负责人陈勤伟表示,虽然用户单位也会发起类似的社群与组织,但由于缺乏项目推动与交流,很难沉淀有价值的内容。而诸子云通过线下的互动以及共同参与可落地的项目,能够真正从工作和个人价值上,对安全从业者带来积极的作用。
随后,诸子云发起人之一、安在CEO张耀疆上台,对过去一年诸子云所做的事情、取得的成绩,进行了一个简单的回顾。
不到一年的时间里,诸子云已经先后在上海(200人)、北京(60人)社群落地(有会员注册登记和微信群),并于广深、武汉、杭州等地开始筹备,协调各地相关机构的工作。
在安在新媒体运营支持下,诸子云讲述了十多位甲方大咖和一线从业者的安全命运故事,打破了过去甲方安全人无处发声的桎梏,让社会见证了安全从业者的付出和价值。
同时,诸子云共计发起专场活动三次,甲方用户单位线下互动沙龙十余场,社群活动逐渐兴起,以《2018金融网络安全十佳方案》为典型的项目也成功实施并初显成效。
今年,诸子云会继续努力,作为让甲方发声和交流户主的平台,将安全行业不同的思考和声音进行吸收、转化,并分享给更多的用户单位的厂商,为这个行业的发展,补给更多养分。
随后,公安部第三研究所、国家网络与信息系统安全产品质量监督检疫中心、公安部计算机信息系统质量检验检疫中心、智能互联安全测评实验室主任张艳博士,金拱门CSO赵锐,分别以《网络安全等级保护的发展与变化》和《如何通过企业高层沟通——确保网安落地》为主题给大家进行了分享。
议题介绍
张艳博士:网络安全等级保护的发展与变化
所谓等保2.0,最早被提出于2017年网络安全等级保护大会上,是自《网络安全法》颁布以后,形成的新的网络安全等级保护制度。当然,等保2.0并非官方的称呼,而是区别于过去的等级保护制度,业界自己的定义。
整体上,等保2.0更多地强调了安全要做到“整体防御、分区隔离;积极防护、内外兼防;自动防御、主动免疫以及纵深防御、技管并重”的概念。
从全球范围来看,网络空间的安全已经上升到和传统的陆地、海洋、天空等各领域安全同步同级的概念,所以包括国家和政府的安全战略在内,都将网络空间组成的安全提到了一个重要的高度。
就目前来说,国家现行制度体系当中,等级保护制度应该是唯一一个有效保障网络空间安全方面的重要战略,而《网络安全法》第21条规定:“国家实行网络安全等级保护制度,网络运营者要按照等保制度要求,履行安全保护义务”。这就意味着,在《网安法》颁布以后,等保已经从国家的基本制度、基本国策,上升到了法律层面。
作为网络安全方面基础性的法律,《网安法》除了强调网络安全等级保护制度以外,还对国家关键信息基础设施,在等保基础上,提出了重点保护的要求。
在等级保护对象方面,原本我们更多只提到重要信息系统这一单一概念,而随着云计算、移动互联、大数据、物联网、AI等新技术的应用,整个等级保护的对象也有了进一步了的外延扩充,包括了云平台、工控系统、物联网系统、大数据平台等等。
内容方面则更加丰富和完善,包括风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等在内的这些与网络安全密切相关的措施都将全部纳入等级保护制度并加以实施。
最后,在体系上,等保2.0也有了巨大的升级。首先,在现有体系基础上,等保2.0建立完善了等级保护政策体系、标准体系、测评体系、技术体系、服务体系、关键技术研究体系、教育训练体系等。
同时构建起了安全监测、通报预警、快速处置、态势感知、安全防范、精确打击等为一体的国家关键信息基础设施安全保卫体系。
金拱门CSO赵锐:如何通过企业高层沟通——确保网安落地
一上台,锐少先给大家开起了玩笑,他说:“最近大家拿年终奖的时候,不知道有没有跟领导沟通新一年安全预算的问题,结果是不是不太理想?”锐少一番话,引得台下笑声不断。
锐少说,企业安全负责人,一般分为两类:实操和管理。
实操类的负责人喜欢用技术的语言去和领导进行沟通,而管理类的负责人则更愿意站在风险合规的角度来汇报安全工作。
但是,如果安全汇报的对象是CEO、CFO之类,那技术语言恐怕就并不容易被理解了。而合规管理,往往拿方案说话,就以等保通过为例,我们自认为今年取得的85分相较于去年的80分,有了显著的提高,但是领导可能会觉得并无差别。
所以,作为企业安全负责人,我们就不能自说自话。
首先,我们要搞清楚老板到底关注什么。工作中,我们经常会遇到,在谈安全预算的时候,老板会以业务增长为由,控制和压缩安全的预算。这时我们就要动之以情,告诉老板,安全是业务的保障。
既然安全与业务挂钩,因此就要求我们各位企业安全负责人要理解业务安全,并将其转化成风险,通过公式,来告诉管理者他们在安全上投入的成本到底为企业降低了多少风险。
大家都知道,不同的业务部门,关注的点或被CEO和董事会考核的内容,是各不相同的。如果安全能在这些方面帮助到他们,大家自然就可以结合到一起。通常企业会有年报和年终总结会,大部分部门的领导会上台进行过去一年工作的总结,并做未来的展望,这个时候我们一定要认真仔细地听。
既然听了,了解了,我们下一步要做的事情就是换位思考,知道别人关心什么、想做什么,我们在哪些方面能够帮助他。要知道,人心都是肉长的,如果我们帮助了他们,后续肯定会收到反馈。
切记要实现多赢,不然就容易形成小团体。
另外,我们思考问题的时候也一定要有大局观,让老板认为你和他的思路是一致的,你是在帮他解决问题,才能对晋升有帮助。同时要考虑全球的对手和其他对应的威胁,了解现状,把定性转化为定量。
在汇报工作的时候,建议大家多用图表和指标,这样会有较强的视觉冲击力,也更容易引起领导的重视。
而最后,我们一定要日积月累一些属于自己的方法论,因为当我们在和别人交谈的过程中,想要了解他们的认知和背景,是需要有相应的理论基础的。一定不能让领导认为,我们能把活干好,但是不具备管理能力,一旦被打上这样的标签,就会限制自身的发展,可能一辈子就只是一个“办事员”了。
结尾
随着嘉宾们分享的结束,诸子云“走进民营银行”沙龙活动,也在大家热烈的讨论和思维碰撞中画上了句号。
活动最后,现场还专门举行了一个简单的“入伙”仪式——诸子云专家聘任仪式,诸子云创始人之一,安在新媒体CEO张耀疆和诸子云理事长赵锐,分别为理事会成员以及会员颁发了聘书。
同时,诸子云也欢迎越来越多的甲方安全从业者,能够了解并融入到这个大家庭中。
本次活动,张艳博士和锐少的分享,让参会专家对等保2.0和如何与领导开展高效的沟通,有了更新的认识,也让诸子云活动创造了应有的价值。
正如安在CEO张耀疆所言,针对时下安全的热点,做有意义的研讨和交流,势必能催发安全更好地成长。
此外,张耀疆表示,目前诸子云还开展了有奖征文的活动,如果大家有干货,就请尽情地投稿吧。而之后诸子云还将开展更多的线下活动和项目,继续为甲方安全从业者,创造更大、更坚实的互助、交流、发声的平台。
有关本次活动主题分享的详细内容,安在随后会整理编辑,分期完整分享。
活动花絮
诸子云活动回顾
诸子云 | 属于甲方安全专家的社群组织,启动了!
诸子云 | 我们搞了点事,非甲方网安人士请勿打开
诸子云 | 唯品会黄承:想要成为CSO?这些基础不能丢!
诸子云 | 快钱赵锐:安全管理之密钥迷局
诸子云 | 走进海航:个人隐私、GDPR及数据安全
诸子云 | 走进华数:数据安全及等保2.0
如何加入诸子云
诸子云已然来了,
目前已在上海、北京、武汉、深圳等地设立本地机构,可有心动?
心动不如行动,赶快联系我们,诸子云欢迎您!
申请加入诸子云
长按二维码识别联系安在君