诸子笔会 | 1月征文回顾
安在征文活动 1月主题:安全规划
在新年第一个月的征文活动中,安全规划成为大家关注的重点,本月共计6篇征文,从“安全部门职责与重点”引出“建立安全规划蓝图”,最后到“规划的宣贯”形成完整的逻辑链。在此摘选个中优秀观点,向各位分享。
安全部门职责与重点
► 随着企业数字化转型,线上场景将越来越多,金融机构所持的个人信息,更成为其他行业的稀缺资源,如何即保护个人信息安全,又能提高数据资源利用率,发挥数据要素市场价值,是安全人员要考虑的重要问题。
► 安全工作首先要有人,不单纯是规划安全团队,还要规划安全委员会、安全领导小组等虚拟资源,管理层的支持在整个安全工作推动过程中是最关键的。安全负责人在做安全规划时应该尽量争取到管理层的“人力”资源。接下来就是强化团队专业化能力和企业员工安全意识,规划好每年需要开展的安全培训频次以及从哪些方面来开展,是否需要聘请外部专家,哪些方面是安全弱点需要通过培训来加强,哪些岗位容易出现安全问题需要针对性开展等都是需要重点规划的点。
► BCP是业务负责人需要关注的全面业务风险,安全对BCP的影响,在BCP的规划和计划中体现,是推动业务负责人建立安全意识,主动驱动和落实安全规划的重要方法。因此,BIA和BCP作为业务视角和业务语言的风险管理前置输入,同样是安全规划符合业务方向和战略规划,在沟通层面形成语言一致,逻辑合理的重要输入。
► 聚焦核心就是知道安全部门的重点是什么,在安全中应该扮演什么角色。正如我们一直强调的,安全绝对不是安全部门的事情,而应该是公司每个人的事情,是一个自顶而下的活动。所以安全部门在安全中就应该有自己的角色和定位,而角色在我看来就应该是以专家的知识制定政策和策略,指导公司其他人员做好自己应该做的安全相关的事情,将安全能力化,维护安全能力,让公司其他人员和部门可以使用安全能力来为自身服务。这就是安全部门最应该做的事情,也是他们存在的根本。
► 安全工作最大的痛点可能是到处充当“救火队员”,工作处于“事件驱动”的状态,发生安全事件后开始“零星的”、“针对性的”做一些补充完善工作。又或者是盲目的启动项目建设,最终买了很多的“盒子”,堆积了很多安全产品,但实际安全效果不尽人意。这些现状可能是因为缺乏以风险为导向的主动式安全体系、缺乏全局性的安全观,缺乏对业务的支撑,导致安全价值无法体现。网络安全规划也许可以适当扭转这些不利局面。
► 组织的整体资源是有限的,每个部门在制定自己的战略计划时,首先要符合组织的整体规划,其次还要与组织中其他战略计划配合,识别相关间的依赖关系并避免相互间的矛盾,例如:重复造轮子。
► 金融机构数字安全将为金融机构看待网络安全、信息安全、数据安全问题,提供统一视角,在各方形成共识的情况,来分析问题解决问题。
► 安全建设主要从制度、流程、技术方面开展,有了团队和预算资源后,就需要合理分配资源,从完善安全制度、健全安全流程、提升安全技术、提高应急响应多个方面开展安全建设规划,全面提升企业安全能力。
► 规划的过程不是输入的照搬照抄,而是再加工的分析,分类,问答环节。问题驱动,首先清晰定义问题,解决方案,要给出制约条件下的最佳问题答案,价值提升,解决这个问题的业务价值和意义是什么,说清楚这三件事,是完成安全规划的前半部分,后半部分是把安全当作一个整体,透过具体的问题和方案,抽象总结安全的趋势,安全的价值,安全的宏观视图,抽象和升华到安全对企业的整体价值和影响。
► 对于现存的安全能力,要进行文档化和流程化,然后进一步自动化和API化,最好能够让业务部门的安全代表可以做到自服务。要做好对安全代表的培训工作,要将安全代表视为安全部门的一份子,并且积极给安全代表放权,同时做好监督工作。放权很重要,监督更加重要。比如安全的评审,各种安全工具的测试,执行人是业务部门,但是安全部门必须做好监督,保证结果必须是符合预定要求的。
► 网络安全规划,一定是自上而下的,是在充分继承企业战略规划、IT战略规划的基础上,建立的全面、明确、有前瞻性的安全计划。网络安全规划可为企业提前制定符合业务发展战略的网络安全建设路径,使得网络安全建设能够有策略、有计划地推进业务发展,明确投资假设的预期效果,最终提升战略执行力,保障投资价值。
► 对于大型组织拥有众多业务条线的组织或是大型集团公司,可能会按业务条线制定多项工作规划。每个业务条线有各自的工作规划,也可能有横向的跨业务条线的工作规划。中小型组织可能只有单一工作规划,大型或复杂的组织会存在多个工作规划。基于工作规划,组织要对实现的目标和实现目标的前提条件与组织内的各方达成共识。各业务条线把工作规划转化为战略计划,这时不只是对组织要实现的目标和实现目标的前提条件进行分解。因为这里还需要评估安全工作的现状(成熟度),开展内部沟通,分析外部环境。
规划的宣贯
► 在金融机构完成网络安全基础设施建设后,安全从业者的思路要从安全管理者向安全运营者转变。从管理视角出发,安全与业务有很强的对立关系,安全强则业务顺畅弱,业务强安全保障低。但若从安全运营视角出发,安全为业务服务,业务在安全保障下运行。
► 安全规划需要以企业安全现状为基础,紧密结合国家安全战略和行业安全态势,统筹部署,全局分析,从投入、建设、实战全过程开展,建立形成企业未来安全发展主线,指导企业沿着正确的目标和方向有序开展安全建设工作,让安全规划变得有意义、可落地、见成效。
► 规划是过程,输出才是规划的成果,从国际项目管理师(PMP)的角度而言,一个项目要从时间,资源,质量约束下实现目标,借鉴过来,一个好的安全规划输出要包含几个要素,预算表,能力矩阵,路线图。
► 互相支持就要求业务部门的安全代表能够支持安全部门的工作,这首先要业务部门要支持安全部门的工作。这个要求有组织结构和公司文化的保证。然后安全部门要支持业务部门的工作,为业务部门的发展提供安全支持。具体可以是要定期与业务部门的安全代表开会,比如双周例会,让业务部门的安全代表之间和安全部门之间都形成良好的沟通互动。对于业务部门的安全代表提出的需求安全部门应该积极响应,这个应该作为安全部门第一优先级任务。
► 企业网络安全规划完成后,应做好向上汇报以及相关人员的宣贯。向上汇报的目的是让领导知悉、理解当前的安全风险与挑战,在安全目标与实施路线方面与领导达成一致意见。最重要的还有要获取领导的承诺,包括人力资源、预算等承诺。向相关人员宣贯,包括要在安全团队内部做好宣贯,确保所有成员统一思想、统一目标。同时也应向开发、业务等相关部门做好宣贯,让大家了解安全的目标与大致计划。
► 基于工作规划,组织要对实现的目标和实现目标的前提条件与组织内的各方达成共识。各业务条线把工作规划转化为战略计划,这时不只是对组织要实现的目标和实现目标的前提条件进行分解。因为这里还需要评估安全工作的现状(成熟度),开展内部沟通,分析外部环境。
更多内容及打卡详情,参见诸子云知识星球。
本月共发出6篇以“总结报告”为主题的专家文章,在此附上链接,供诸位参考。
至此,2021年度诸子笔会系列征文活动已经全部结束,最佳作者正在角逐当中。投票详情请点击下方链接,为你喜欢的作者投上宝贵的一票。另,2022年度诸子笔会有奖征文,后续即将发布公告,欢迎更多有心有料的写作者和分享者报名参加!
投票请点击:
诸位可以就此主题畅所欲言,如有想要补位参与进来的朋友,请扫下方海报二维码。
推荐阅读
诸子笔会 |1月征文合集《安全规划》
蔚晨:金融机构数字安全规划要点综述
锐少:从工作规划看网络安全人的职业规划
刘顺:企业网络安全规划建设实践
肖文棣:逆势下做安全年度计划
杨文斌:如何让安全规划掷地有声
诸子笔会 |12月征文合集《总结报告》
刘志诚 蔚晨 王振东 孙琦
杨文斌 赵锐 肖文棣
月奖公布
诸子笔会 |11月征文合集《供应链安全》
蔚晨 张永宏 刘志诚 杨文斌 孙琦刘顺 王振东 赵锐 肖文棣 月奖公布诸子笔会 |10月征文合集《安全周》
张永宏 王振东 赵锐 蔚晨
刘志诚 刘顺 肖文棣 季奖公布
诸子笔会 |9月征文合集《安全团队》
刘志诚 张永宏 刘顺 杨文斌 蔚晨
王振东 孙琦 肖文棣 赵锐 月奖公布
诸子笔会 |8月征文合集《数据安全》
赵锐 刘顺 刘志诚 杨文斌 张永宏蔚晨 王振东 孙琦 肖文棣 月奖公布
诸子笔会 | 7月征文合集《安全自动化》
张永宏 肖文棣 杨文斌 于闽东 孙琦 刘志诚 蔚晨 赵锐 季奖公布
诸子笔会 | 6月征文合集《安全数字化》
张永宏 刘志诚 孙琦 李磊 赵锐 于闽东肖文棣 顾伟 侯大鹏 蔚晨 杨文斌 月奖公布
齐心抗疫 与你同在