诸子笔会 | 杨文斌:如何让安全规划掷地有声
自2021年6月起,安在征文全新“改版”——“诸子笔会,打卡征文”。简单来说,我们在诸子云社群招募“志愿者”,组成“笔友群”,自拟每月主题,互相督促彼此激励,完成每月一篇原创,在诸子云知识星球做主题相关每日打卡,同时邀请专业作者群内分享,互通交流。我们的目标,不仅是在持续8个月时间里,赢取累计8.8万的高额奖金,更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文,即诸子笔会月度主题来稿之一。
从了解到总结的安全修炼
文 | 杨文斌
杨文斌
某电商公司
安全管理
规划是融合多个要素后建立的发展愿景,是对未来整体性、长期性、基本性问题的思考、考量和设计形成的整套行动方案,规划需要有前瞻性、综合性、系统性,又要有针对性、明确性、充分性。战略规划是企业向前发展的主线,是指导企业发展的风向标,而安全规划是企业稳定发展的保障,是战略规划的重要组成部分。安全规划需要从人、资源、技术、管理等角度层层分解,确保用最合适的人,遵照最高效的流程,用最优秀的解决方案,投入最合理的预算,来为业务提供最安全的保障支撑。
规划引导
在制定企业安全规划前,应充分解读国家各个层面的战略规划关于安全建设相关内容,核心规划主要有《国家安全战略(2021-2025年)》、《“十四五”国家信息化规划》、《“十四五”推动高质量发展的国家标准体系建设规划》,进而结合企业自身业务特点,建立形成符合国家安全战略发展主线的企业安全规划。要立足企业发展现状和理念,突出核心业务和重点任务,集中优势资源推进安全建设,着力深化安全创新和风险防范,推动实现提质增效的可持续安全发展。
安全资源
安全资源是企业为了强化安全能力建设进行的投入,主要包括人和预算,人是安全工作的根本,安全能力说到底是人的能力,攻防实战说到底是人才对抗。预算就是企业愿意在安全方面投的钱,预算越多安全建设方案的灵活性越高,相对于的风险应对能力也越强,安全工作成效也越明显。
安全工作首先要有人,不单纯是规划安全团队,还要规划安全委员会、安全领导小组等虚拟资源,管理层的支持在整个安全工作推动过程中是最关键的。想必任何一个安全从业人员都深有体会,安全工作都是至上而下的,只要上层发话,工作就容易落实推进,相反得不到管理层的支持或者管理层安全意识不高,安全团队或者部门也是形同虚设,甚至经常被当作背锅侠,而且这个锅被的很顺理成章,没有任何反驳的余地。安全负责人在做安全规划时应该尽量争取到管理层的“人力”资源。接下来就是强化团队专业化能力和企业员工安全意识,规划好每年需要开展的安全培训频次以及从哪些方面来开展,是否需要聘请外部专家,哪些方面是安全弱点需要通过培训来加强,哪些岗位容易出现安全问题需要针对性开展等都是需要重点规划的点。
预算主要包括安全工作开展需要投入的软件、硬件、固件及各方面安全支撑需要的资金投入,包括培训费、购置费、维保费、安服费等方面,需要做到“精打细算”、“精准投放”。今年在安全方面没有好的建设成效,就不会有好的年度工作汇报,当然在申请下一年的预算时也不会太容易。管理层对安全工作的认可是分配安全预算的前提,安全本来就是成本,没有企业乐意作无用的花销,所以今年的安全成果是明年预算的基础,全力有效的开展安全工作是申请预算的唯一途径,才会将安全工作形成“滚雪球”的良性发展效应。安全工作成效显著,预算审批快,安全工作容易开展。
安全建设
安全建设主要从制度、流程、技术方面开展,有了团队和预算资源后,就需要合理分配资源,从完善安全制度、健全安全流程、提升安全技术、提高应急响应多个方面开展安全建设规划,全面提升企业安全能力。
安全制度在企业发展过程中发挥重要作用,通过强制性和激励性手段,有力保证安全目标的实现。随着《数据安全法》、《个人信息保护法》等多个法律法规的频繁发布,企业应紧密结合国家法律法规相关依据,制定制度完善和增补规划,组织合规部门及制度管理修订相关人员,建立制度相关重点任务,在企业现有制度的基础上,明确明年的制度建立方向和目标。制度包含管理制度和技术制度等方面,管理制度需要以人为本,建立安全制度的文化体系,又要保证制度的动态更新,修订更新后做到全员宣贯和成效评价,不能让制度变成一纸空文,拘于形式。技术制度需要结合安全技术的发展态势做出相应的更新规划,保证安全能力时刻跟随先进的安全技术。
运营管理是保证安全建设持续有效的措施,一方面从安全运维的角度考虑,分析当前安全防护措施和预警分析手段是否能保证第一时间发现潜在的安全风险,并做到及时处置或防止风险扩散。无法满足就需要在明年需要增加安全产品的购置及人员投入。另一方面是流程持续优化,梳理分析当前的威胁感知和漏洞分析处置流程是否存在缺陷,需要规划对应的流程完善机制和落地实践策略。还需要加强对知识库或资产库的动态监管和深化应用,对于一些常态化持续更新的企业资产,需要依托大数据分析、人工智能算法等先进技术加强技术创新,在强大库存的同时还要增强关联性,促使安全风险的精准定位和高效处置。
应急响应是对企业在发生安全事件时应对处置能力的验证,需要全面制定应急响应预案,不仅要建立企业级应急响应预案框架,还应具化到不同的业务场景,最重要的应保证应急响应计划是一项周而复始、持续改进的艰巨任务,每年都应定期开展应急预案的评估分析和修订完善。还应建立针对应急响应预案的宣贯培训和应急演练年度计划,将应急响应工作贯穿于日常的安全生产工作当中,确保安全事件发生时的有效应对能力。特殊场景还应建立专项预案规划作为补充。
安全实战
安全实战是检验企业安全建设工作的有力手段,实战主要包括攻防演练和重要保障两方面,能否顺利通过不同程度的攻防演练,能否圆满支撑国家各项重要工作的重要保障工作可以直接反应出企业的安全建设工作是否合格,安全团队能力是否达标,安全预算投入是否花以致用。
国家的网络安全活动已组织开展多年,相信各大型甲方企业每年也会不定期的组织不同层次范围的攻防演练活动,一方面是为了“检阅”不同阶段的安全生产工作是否达标,另一方面也会促使企业安全建立和团队建设往更高的目标发展。所以在制定明年的安全规划时,必须要考虑实战环节,持续的检验企业各方面存在的缺陷和弱点,针对性的建立强化措施,从攻击者视角分析企业的暴露面,用“以攻促防、实战攻防”的模式提高企业员工安全防护意识和专业化应对能力。
每年国家需要重点保障的会议和活动较多,企业应该提前做好梳理和规划,合理调配资源,在做好保障工作的同时,避免时间久、占线长导致的军心疲惫,将保障工作提升至战略高度,时刻树立安全风险意识,紧盯安全保障过程中的短板弱项。特别是明确服务民生的关键系统和核心业务,做到事前统一规划,事中及时应对、事后认真复盘,吸收经验教训,总结典型案例,在实战中建设和发展,做到安全保发展,发展促安全的持续推进,将每次的重保工作圆满完成。
最后
安全规划需要以企业安全现状为基础,紧密结合国家安全战略和行业安全态势,统筹部署,全局分析,从投入、建设、实战全过程开展,建立形成企业未来安全发展主线,指导企业沿着正确的目标和方向有序开展安全建设工作,让安全规划变得有意义、可落地、见成效。
推荐阅读
诸子笔会 |1月征文合集《安全规划》
蔚晨:金融机构数字安全规划要点综述
诸子笔会 |12月征文合集《总结报告》
刘志诚 蔚晨 王振东 孙琦
杨文斌 赵锐 肖文棣
诸子笔会 |11月征文合集《供应链安全》
蔚晨 张永宏 刘志诚 杨文斌 孙琦刘顺 王振东 赵锐 肖文棣 月奖公布诸子笔会 |10月征文合集《安全周》
张永宏 王振东 赵锐 蔚晨
刘志诚 刘顺 肖文棣 季奖公布
诸子笔会 |9月征文合集《安全团队》
刘志诚 张永宏 刘顺 杨文斌 蔚晨
王振东 孙琦 肖文棣 赵锐 月奖公布
诸子笔会 |8月征文合集《数据安全》
赵锐 刘顺 刘志诚 杨文斌 张永宏蔚晨 王振东 孙琦 肖文棣 月奖公布
诸子笔会 | 7月征文合集《安全自动化》
张永宏 肖文棣 杨文斌 于闽东 孙琦 刘志诚 蔚晨 赵锐 季奖公布
诸子笔会 | 6月征文合集《安全数字化》
张永宏 刘志诚 孙琦 李磊 赵锐 于闽东肖文棣 顾伟 侯大鹏 蔚晨 杨文斌 月奖公布
齐心抗疫 与你同在