作者:马金龙
我叫马金龙,今天再来聊一聊安全体系建设话题;
我们这些苦逼的安全从业人员为了保护公司资产,建立了适用及高效的信息安全体系,从而降低安全风险,提高了组织的整体安全防护水平,为业务发展提供了稳健的信息安全保护,从而实现自已年薪亿万,升任CSO,迎娶白富美,走上人生巅峰的人生。
那么如何走向人生巅峰…
不,应该是如何开展有效的信息安全管理体系化建设呢?
第一步:首先要明确安全需求;
不同的公司,不同的安全团队,不同的发展阶段,可能需要的安全体系化建设的需求也不一样:
可能的情况一:比如融资几轮的创业公司,他们有安全建设的需要,但是又不知道怎么去做,他们可能会招一到两个安全人员或者直接在运维团队里指派运维员工兼职安全工程师,就好比那些“一个人的安全部门”,公司的安全能力大多停留在应急阶段,需要从0到1的去建立安全体系,如果老板对此不重视,那么以后也就只能是一个人的安全部门了;
可能的情况二:可能是原国有企业或者老牌的公司,他们有10人左右的安全团队,但大多是安全技术出身,有一两个安全管理岗位,有相应信息安全文档类的制度规范,但从未落地执行,只有在面对合规或审计机构检查才拿出来应付一下,这样公司的安全体系建设基本上停留在纸面上,员工根本就不知道的存在,更别提执行了;
可能的情况三:可能是公司已经有了相应信息安全管理体系,安全组织完善,制度策略也已经落地执行,但是由于公司高速发展,以及新产品新技术的产生的新的安全需求,安全体系建设需逐步进行优化改进完善;
同时近年来,尤其是我国网络安全法的颁布,ICP年检安全内容不断增多,等级保护升级到2.0等,突显政府各部委对信息安全越来越重视,对公司的安全要求也越来越严格,导致公司的合规及政治风险越来越大,惩罚力度也越来越重;
相当多的我国企业,合规风险才是迫使亲爱的老板急着要去建立安全体系的原因之一;
所以先要充分了解公司的业务,现阶段的安全体系状况,以及理解老板的想法,这样才可以真正明确安全需求,为下一步做为准备;
第二步:明确管理体系作用范围,同时获得高层领导的支持;
明确了安全需求,那么下一步就是确认管理体系作用的范围,也就是你所做的体系能控制的边界,到底是整个集团,某个分公司,或某个业务产品,有助于你能更好去思考架构规则及协调相应的资源;
如何获得高层的支持?
TOP-DOWN(从上至下)方式,这是最理想的状态,明确获得高层领导的支持,从上至下的进行推动,全员进行参与,安全工作会能非常好的开展;
但事实上往往都是由下至上的进行,需要通过事件推动,不仅让高层领导了解到信息安全的重要性,也让自已的能力得到肯定,这样能让高层对安全体系防护策略有期待,才有可能获得更多的支持;
第三步:成立安全组织,确认总体方针及建设目标,整合现有相应的资源,梳理并完善相应安全措施;
成立组织,明确安全权力义务责任,比如筹备小组,将上游中游下游相关的部门都拉上,然后对现有资源进行整合,比如人力,物力,财力..
确认目标,通过结合公司业务特点,以及内外部的专家的意见,制定现今公司长中短期安全建设目标;
现有架构整理及完善,包括安全的管理方面以及技术方面,比如先整理现有的安全文档,流程,规范,策略,还有一些正在执行但未落在纸面上的行为,将其归纳整理并完善缺失文档,形成一个文件化流程化的体系;
第四步:建立奖惩机制以及监管机制,确保落地执行;
建立制度审核机制,获得老板的支持,同时与多部门或机构进行协作,如HR部门,法务部门进行协作
建立合法的奖罚激励机制,合规部门对安全部门的程序进行监督,确保政策执行;
第五步:开展安全培训教育及知识宣传
定期开展多样式的安全培训和宣传,使员工学习安全制度及安全技能,提高全员的安全意识;
第六步:保持安全策略更新
定期对安全策略进行验证,根据内外部专家对策略进行审核,利用PDCA过程模式,将这一过程抽象为策划、实施、检查、措施四个阶段,四个阶段为一个循环,通过持续的循环,从而使信息安全管理体系策略的持续改进。
这样就可以走上人生巅峰了吗?
不可能..
经验告诉我们说,凡事都不是那么顺利的,我们仍然需要努力,想着如何让老板支持我们,让业务赞同我们,让公司离不开我们..
加油吧,朋友们!
基本上就这样,希望能给朋友们带来一些启示,同时如果有朋友什么意见或建议,可以留言或加我微信;
对了,不要总是996,要多陪陪家人!
声明:本文来自安全管理杂谈,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。