尧昱,先后在中国电信、中国人寿等央企从事网络技术研发与网络安全管理工作,具有丰富的安全规划、建设和安全管理等经验。

不会做规划,怎么搞安全?一看到这个题目,就想到曾经做过的和目前正在做的事情——网络安全规划。我们都知道,网络安全是系统工程,是一个多层面、多因素的、综合的、动态的过程,一个组织的信息安全水平是由与信息安全有关的所有环节中最薄弱的环节决定,任何环节上的安全缺陷都会对系统构成威胁。这就更需要统一全面的规划,需要对系统运行的各个环节进行综合考虑、规划和架构设计,并要时时兼顾组织内外不断发生的环境因素的变化。

但规划究竟要怎么做呢?网络安全规划的方法论大家都知道,通过对企业进行现状分析,确定目标,寻找差距,再制定未来几年的建设规划以及落实具体可落地的项目群。方法论有了,是不是照着做就行了呢?是也不是。确实,按照方法论可以形成一个比较完整的规划报告,但报告可以落地吗,怎么落地,这就不是方法论可以给出的,而规划最难的,也就恰恰在这——可落地性。

作者参与过中小企业的3年安全规划,现在正在参与大型集团化公司的3年安全规划,发现规划和规划不一样,中小企业或者说业务单一的企业更关注安全技术的规划、落地和应用,而大型集团公司除了这个之外,还关注安全管理的组织、职责以及流程。现将规划的一些经验分享给大家,也希望能和大家一起探讨关于大型集团化公司网络安全工作如何落地。

1、规划的目的

为什么要做规划呢?各企业有各企业的原因,总的来说其实都是大环境所致。对于安全从业人员来说,现在是“最坏”的时代,也是最好的时代。“最坏”的时代,是指各企业数字化转型日益加快,面临的网络攻击更多,同时国家监管趋严,各种法律法规持续出台,给所有企业的网络安全管理人员带来了巨大的压力和挑战,这是“最坏”。但随之而来的,必然是企业领导层的重视,投入逐渐增多,可以做的事情和发挥的空间更大了,这是最好。整体而言,安全受到前所未有的关注,逼迫企业各级网络安全管理人员去审视自己的工作,去检查企业抗网络安全风险的能力,去思考未来几年网络安全能力该如何建设,安全规划自然就被提上日程。

2、我们的目标

做规划,首要的是定目标,希望企业网络安全水平到达一个什么水平。这往往需要综合多方面的因素考虑,比如公司目前的现状、国家及行业的监管要求、企业管理和业务需求等。网络安全从来都是至上而下的,访谈企业各级对于导和各业务部门领导,了解领导企业管理和业务发展对网络安全的需求,借领导的口把安全目标定下来。通过风险评估、问卷调研等一系列方式掌握公司目前的安全现状,知道我们到底处在什么水平,再结合领导访谈,最终才能确定我们可以达到的目标。

3、我们到底该怎么做

现状和目标明确后,对于这中间的差距,我们应该如何填补,就是我们今后应该如何做的问题。这也是大企业尤其是集团型公司面临的难点问题。

集团公司往往面向的是全集团各级公司,需要考虑更多的是如何统一管理和监督落实。这也是公司规模越大,网络安全越难做的原因。尤其是集团公司,往往有许多分公司、子公司,业务范围广,暴露面多,安全统一管理就显得至关重要。因此对于集团型公司来说,安全不仅仅在于技术上如何建设和运行维护,更多的在于标准统一,拉齐各下级公司的安全防护水平。

因此对于大型集团公司网络安全规划,除了传统的网络安全技术体系和运行体系规划外,还需考虑管理体系和监督体系等。管理体系解决了组织、人员、职责、流程等问题。对于大型集团化公司来说,网络安全管理、建设和运行的抓手在哪?就在组织的建设上。建立一套行之有效的组织管理体系,落实各级公司人员岗位、职责,梳理清楚机制流程,使得各级的监管要求能够得到有效执行。同时,建立可指导实施的制度体系,给各级公司网络安全从业人员以指导。

在明确组织体系的同时,需要厘清网络安全所在部门内部之间、集团网络安全与各下级公司网络安全之间以及集团IT部门与其他部门之间的关系。谁主管谁负责、谁运行谁负责、谁使用谁负责,要讲清楚主管、运行和使用的部门究竟负责什么。

在这之外,为了保证组织机制顺利运转,必不可少的是监督检查。一方面,需要借助外部力量,建议将安全纳入到审计体系里,另一方面,对于集团化企业来说,需要开展上级对下级公司的检查和评估工作,集团化公司既需要指导下级公司的安全建设又负责对后续运行情况进行监督,保证网络安全的要求能够得到从上到下的贯彻执行。

4、结束语

本文根据之前安全规划的经验,结合集团化规划编制过程中遇到的问题和困惑,总结而成。个人浅见,也希望得到大家更多的指导和经验分享,互相学习借鉴。

声明:本文来自安在,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。