,安全技术仅能解决一部分问题,常常要安全管理协同保障,甚至管理的比重更大。但是,几乎所有企业都面临安全管理制度落地难的困惑,几个根本原因如下:
除监管较严的行业(如金融、医疗)外,行业的安全文化不够深入,导致企业和员工对安全制度缺乏认同感。
安全部门作为成本中心、支撑部门,企业存在不重视情况。没有配套的安全领导组织、团队从上往下推动落实执行。
为了内/外部安全合规而建立“应付式”的制度体系,这类制度通用性强,但是内容空洞,很难在企业内进行实质性落地,也未正式发布。
企业层面的制度总体上偏抽象和粗颗粒,与实际落地执行的具体工作(信息系统侧)存在脱节现象。
分析企业业务管理的路径,企业通常先明确经营方向,在业务开展有很多业务资格要求和安全要求,由此产生了企业合规需求。
合规目的是为满足国家的法律和法规,决定业务能否继续开展,回答“是和否”问题。企业合规中有一块是关于安全合规内容,常常要从企业层和系统层的安全要求,因此就需要建立相关的安全组织,开展安全合规、安全管理、安全技术等工作,满足基础合规。
企业在开展安全管理工作前,需要成立安全部门(或职责挂靠其他职能部门),明确安全工作的职责,进行部门的“三定”(定岗、定编、定人),如下图:
安全管理部门的成立,并配备相应的专业人才,再推进后续的管理工作,大致流程如下:
建制度:建立网络和数据安全管理制度体系,参照四级文件体系建设,优先推进重要的制度。
建能力:开展网络和数据安全工作需要的安全技术能力建设,需要区分企业侧能力和系统侧能力。
定考核:确定关键的安全考核指标体系,例如安全事件管理、漏洞整改、关键工作落实、常态化安全工作配合、教育培训等。
定工作:包括组织建设、团队设置、监督检查、安全监测、安全审计、安全培训、重要保障等关键工作。
管理实施:通过安全机制,把安全管理工作进行日常的落地实施,区分常态化工作、重点工作和专项工作等类型。
持续优化:整个安全管理各方面工作参照PDCA思路,进行持续优化,不断改进。
组织和人是开展工作的前提,需要按照工作进行整体闭环,按通常的四级安全组织架构体系,如下图:
主要包括三类:安全管理类(偏管理组织、资源协调、监督检查等)、安全技术类(应急响应、渗透测试、技术检验测试等)、安全运维运营类(安全产品运营、日常安全运营、问题排查、技术上的支持等)。
1)制度划分优先级。并非所有制度都需同时制定推行,企业可从业务重要性、风险等级等层面,划分制度优先级,优先制定优先级高的制度,然后逐步制定其他制度。
2)结合实际需求制定制度。从企业业务合规层面出发,制定企业层面制度,通过明确各部门的工作职责,明确主要工作及要求。
对安全工作落实与执行的机制和流程进行分级管理,优先明确并制定重要机制和流程,其他则按照相对简化流程执行,执行情况依据公司情况纳入审计范围。可参考的机制和流程如下:
(1)重要机制:监测与预警机制、应急处置机制、风险评估机制、教育与培训机制、重要事件报告机制、重要安全保障机制等。
(2)重要流程:变更管理流程、安全检测流程、访问控制流程(账号、权限、数据导入导出)、数据备份与恢复流程、数据加密和脱敏流程、安全审计流程、安全事件响应流程、漏洞整改流程、日常巡检流程、安全监督检查流程等。中小型企业可参照,考虑优先建立重要的机制和流程。
企业层面的安全制度落地的核心思路之一,把制度中的重要内容转化成具体的安全工作,以专项工作方案形式进行落地实施,并通过类似“项目”管理思路,明确时间、负责人、工作规划、交付物,参考如下:
安全技术监测、等级保护测评、定期漏洞扫描、风险整改、安全监督检查、安全审计、监测预警等等。
数据安全审计、数据分类分级、数据资产管理、数据安全运营、数据处理活动识别、数据合规管理、权限管控等等。
系统层面的制度落实思路,可以制定工作说明书的方式,对每个系统编写针对性的工作说明书,明确重要工作的开展流程和相关输入输出物,工作执行频率等内容。此外,系统层面的安全工作和运维工作紧密相连,需要与运维工程师协同合作,参考如下:
安全建设方案、系统级应急演练方案、安全培训、安全加固手册、安全策略配置、安全操作手册、安全检查记录、安全测试报告等。
运维操作手册、巡检记录、数据备份、日志审计、系统使用手册、CMDB资产台账、故障处理手册、变更管理、应用层应急演练等。
安全制度落地和企业的业务模式和数据特点至关重要,如金融、运营商、汽车、医疗等,因为监督管理要求多、监管动作频繁,从上到下重视安全。
其次,由于各类监管动作不断,企业安全部门要配合大量的安全检查,通常企业安全岗位人员有限,大部分情况被“监管检查标准”牵着鼻子,导致每次检查很辛苦,检查文件夹中躺满各类表格和佐证材料和截图,材料可复用度较低。
要想网络和数据安全管理制度在企业中有效落地,需要从制度建设、组织配备、流程管理等多维度入手。通过领导层支持、规范化的流程机制、专项工作方案的实施,公司能够构建一个有效的安全管理体系。
结合主动的安全工作思路,企业不仅能满足监督管理要求,还能通过提升内部安全防护能力,增强企业的整体竞争力。
如本文描述,想要做好安全制度体系落地实施,满足安全监督管理要求,从企业自身层面来说,通过实践逐步摸索的一套方法,总结如下:
领导层支持是安全制度成功落地的关键,因此,通过企业安全委员会等形式,形成定期的会议机制向领导层汇报安全管理工作,展示安全工作的进展、成效和决策事项。
建立跨部门的安全工作小组,定期组织企业层面的安全培训交流、应急演练,通过全局性、跨部门合作来推动安全文化建设。抓住国家层面及监管层面的安全工作通知,类似网络安全宣传周等时机。
通过主动式的安全工作思路,从实际安全工作诉求出发,梳理出关键工作规范落实执行,能够完全满足90%以上各式各样的安全监督管理要求。实际上,无论是企业层还是系统层,关键的工作如本文所列,不会特别多,落实执行后能满足合规,安全部门通过标准动作完成尽职履职,实际工作也得到落实执行。
通过建立定期的安全报告机制(如月报或季报),确保所有安全相关工作的可追踪性。尤其针对系统层面的落地,通过常态化、规范化的明确关键工作,在日常工作中周期性进行落地,输出相关的记录和报告。
通过以上内容,企业不仅能更好地解决安全管理制度落地难的问题,还能提升组织内部安全意识、引入自动化流程、强化业务与安全的结合等方面。
