侵權(quán)投訴
訂閱
糾錯(cuò)
加入自媒體

信息安全建設(shè)規(guī)劃實(shí)踐分享

第四,數(shù)字化轉(zhuǎn)型需要相應(yīng)的信息安全管理體系及技術(shù)手段為企業(yè)合規(guī)運(yùn)營(yíng)保駕護(hù)航。這個(gè)月國(guó)家正式發(fā)布了等保2.0的國(guó)標(biāo),其實(shí)對(duì)很多企業(yè)來(lái)講國(guó)家的戰(zhàn)略“一帶一路”,我們已經(jīng)和整個(gè)世界連接起來(lái)了,我們很多中國(guó)的企業(yè)做生意也做到海外了。比如說(shuō)像歐洲的GDPR,這個(gè)就很麻煩,不知道大家有沒(méi)有研究過(guò)這個(gè)東西。他要求你在歐洲有生意,你達(dá)不到他的要求就一定處罰得很嚴(yán)格,而且這個(gè)要求很難做到,包括歐洲內(nèi)部現(xiàn)在有很多人對(duì)這個(gè)東西也有很大的爭(zhēng)議,但是它已經(jīng)實(shí)施了,沒(méi)有辦法,只能遵守。國(guó)家也在制定控制指南,等保也已經(jīng)通過(guò)了。比如說(shuō)我們是一家做電動(dòng)汽車的公司,我們現(xiàn)在也有計(jì)劃到美國(guó)去開(kāi)工廠,特斯拉進(jìn)中國(guó)了,我們希望把我們的電動(dòng)車賣到美國(guó)去,我們就要符合美國(guó)法律的要求,這是企業(yè)層面的要求。

這是信息安全建設(shè)面臨的風(fēng)險(xiǎn)和挑戰(zhàn),這個(gè)模版給大家展示的是根據(jù)我們自己企業(yè)的情況做的分析,每個(gè)企業(yè)的情況不一樣,大家可以做一個(gè)參考。隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入,傳統(tǒng)意義上固定的安全邊界已經(jīng)消失了,工業(yè)互聯(lián)網(wǎng)、移動(dòng)辦公、云計(jì)算、IOT等使信息跨越了辦公邊界而自由流動(dòng)。尤其是汽車的電動(dòng)化、網(wǎng)聯(lián)化、共享化趨勢(shì),使得新興技術(shù)的發(fā)展應(yīng)用在提高工作效率,滿足客戶體驗(yàn)同時(shí),特別是政策性影響,也給安全技術(shù)帶來(lái)了新的風(fēng)險(xiǎn)、挑戰(zhàn)和要求。我們從數(shù)據(jù)保護(hù)、移動(dòng)辦公、云計(jì)算、安全運(yùn)營(yíng)中心在具體的業(yè)務(wù)層面,我們從它的特點(diǎn)入手,做了這樣的一個(gè)分析。

比如汽車在法規(guī)上面的風(fēng)險(xiǎn),可能同行會(huì)了解,你買了電動(dòng)汽車,從你出廠的那一天開(kāi)始,24小時(shí)的數(shù)據(jù)都要掌握,國(guó)家國(guó)標(biāo)要求是必須24小時(shí)監(jiān)控。從理論上來(lái)講,各位買了電動(dòng)汽車走到哪兒去我都能看到,你整個(gè)車輛的狀態(tài)我也能看到,這是法律要求的。而且國(guó)家要求企業(yè)能夠隨時(shí)上傳這些信息,之前做這個(gè)事是為了騙補(bǔ),但是現(xiàn)在為什么繼續(xù)做這件事呢?我個(gè)人揣度可能是安全方面的原因。現(xiàn)在不僅是特斯拉,還有其他國(guó)內(nèi)的廠商放在車庫(kù)里面就著了,這是非常危險(xiǎn)的一件事情,廠商有義務(wù)做這件事,這是法規(guī)層面上的。

這是基于信息安全建設(shè)的必要性和迫切性,我們進(jìn)行了分析。當(dāng)然由于行業(yè)的不同、企業(yè)性質(zhì)的不同,各位可以參考一下。我們企業(yè)安全的要求是從全球合規(guī)的遵從、業(yè)務(wù)和產(chǎn)品安全、數(shù)據(jù)資產(chǎn)保護(hù)、防黑客攻擊、系統(tǒng)可用性保障,其實(shí)大多數(shù)企業(yè)安全這件事也沒(méi)有我們想象的那么復(fù)雜,大家老覺(jué)得做安全千頭萬(wàn)緒,不知道從哪里入手,只能被動(dòng)的應(yīng)對(duì)和防御。其實(shí)你仔細(xì)的去梳理一下,你會(huì)發(fā)現(xiàn)沒(méi)有這么多的內(nèi)容,你的思路就很清晰了。右側(cè)是我們企業(yè)現(xiàn)在信息安全的現(xiàn)狀,大家參考一下就好了。我們的信息安全從管理的角度來(lái)說(shuō),第一是安全組織不完善,安全管理制度和流程不完善,以前是解決有沒(méi)有的問(wèn)題,等工廠建立起來(lái)就要解決好不好的問(wèn)題了。第二是信息安全技術(shù),這個(gè)不給大家再讀了。第三是人員安全意識(shí),第四是安全事件。這個(gè)還是那句話,每個(gè)企業(yè)的情況不一樣,大家可以參考,用這樣的思路和方法去開(kāi)展這項(xiàng)工作。

我們的企業(yè)信息安全工作怎么做,這張表我給大家展示一下,主要是給大家開(kāi)拓一下思路,我們的整個(gè)工作思路是沿著什么方法去走的。大家注意一下,這里我們把我們的風(fēng)險(xiǎn)分成了兩類,一個(gè)是管理的風(fēng)險(xiǎn)、一個(gè)是技術(shù)的風(fēng)險(xiǎn)。為什么把這張片子給大家,后面我可能還要重點(diǎn)闡述一下。比如說(shuō)我們特別關(guān)注的信息安全組織缺失、信息安全管理制度缺失、員工安全意識(shí)不足,我們列到了前面,在技術(shù)層面我們可能會(huì)把這些問(wèn)題往后放。

前面是關(guān)于我們面臨的風(fēng)險(xiǎn)和挑戰(zhàn),第二部分我想分享的是安全規(guī)劃的策略和目標(biāo)。這張圖是我正式分享之前給大家做一個(gè)小調(diào)查的原因,其實(shí)信息安全總的來(lái)源是哪里呢?從企業(yè)的戰(zhàn)略規(guī)劃到IT規(guī)劃,這個(gè)時(shí)候才有了信息安全的規(guī)劃。然后逐步的往后推演,我們才能制定出信息安全的原則選擇,最后制定出我們信息安全的策略。這是我們企業(yè)的一個(gè)情況,我們從企業(yè)戰(zhàn)略規(guī)劃到信息化規(guī)劃一路下來(lái),我們的安全規(guī)劃戰(zhàn)略要求只有4點(diǎn),和公司的戰(zhàn)略保持一致,滿足企業(yè)業(yè)務(wù)需求,體現(xiàn)信息部門的價(jià)值,符合相應(yīng)的法律法規(guī)。我們就梳理了這4點(diǎn),也是非常宏觀的。

其實(shí)中間這張圖很有意思,中間這張圖體現(xiàn)了我們?cè)谧鲂畔踩^(guò)程中所有CIO的痛點(diǎn),越安全就越不易用,越易用就越不安全,這是一個(gè)始終無(wú)法解決的矛盾。我們是根據(jù)整個(gè)公司的企業(yè)文化、管理現(xiàn)狀、安全現(xiàn)狀分了左右兩列,信息安全投入和使用是要做一個(gè)平衡的,大家看下面是一個(gè)蹺蹺板,大家要做好平衡。你是更關(guān)注安全,還是更關(guān)注業(yè)務(wù)。因?yàn)槲覀兗业哪腹臼且患以O(shè)計(jì)公司,大多數(shù)搞設(shè)計(jì)的人都比較自由,不喜歡受束縛。所以你看我們會(huì)有合規(guī)文化和企業(yè)文化的對(duì)比分析,大家看這張圖要做的工作非常多,今天沒(méi)有時(shí)間給大家展開(kāi)分享,如果感興趣的我們可以在會(huì)后再展開(kāi)講。

但是這件事非常重要,這件事是整個(gè)信息安全尺度平衡的把握,包括對(duì)你后面的投資都很重要。你做好了這項(xiàng)工作,就可以把整個(gè)策略制定出來(lái)了。我們的信息安全策略是保障企業(yè)正常運(yùn)營(yíng)和效率的同時(shí),采用一切必要的管理和技術(shù)手段,我們把管理放在前面了,沒(méi)有把技術(shù)放在前面。為什么呢,后續(xù)給大家分享的時(shí)候我還會(huì)闡述這個(gè)觀點(diǎn)。確保企業(yè)信息安全運(yùn)營(yíng)符合相應(yīng)法律法規(guī)的要求,這就是我們整個(gè)企業(yè)信息安全規(guī)劃的整體策略。

這是我們的目標(biāo),這個(gè)圖大家看到了,我們的整個(gè)信息安全建設(shè)的目標(biāo)就是通過(guò)“人防”+“技防”,實(shí)現(xiàn)“事前防范、事中控制、事后追溯”的管理目標(biāo),全面降低企業(yè)信息安全風(fēng)險(xiǎn),實(shí)現(xiàn)合規(guī)運(yùn)營(yíng)。主要是4點(diǎn):涉密信息拿不走,黑客進(jìn)不來(lái),安全不違規(guī),特權(quán)不濫用,其實(shí)信息安全不復(fù)雜,就這么4件事。

涉密信息拿不走,主要是防范員工無(wú)意泄密,防范員工故意泄密,防范外來(lái)人員泄密。我們自己統(tǒng)計(jì)過(guò),我們自己企業(yè)發(fā)生的所有泄密信息60%左右是由于員工的無(wú)意識(shí)造成的,真正有意識(shí)的非常少,不到10%,大概5%到7%。故意泄密這個(gè)東西就要不怕賊偷,就怕賊惦記你,我個(gè)人認(rèn)為是無(wú)法防范的。黑客進(jìn)不來(lái)是外部攻擊要防范,防范外部攻擊導(dǎo)致系統(tǒng)癱瘓和數(shù)據(jù)泄露或破壞。安全不違規(guī)是遵從國(guó)內(nèi)外法律法規(guī)的要求,特權(quán)不濫用是做整個(gè)信息規(guī)劃的時(shí)候重點(diǎn)研究的,因?yàn)楹芏嗥髽I(yè)燈下黑,我這個(gè)地方寫的是防止IT人員利用運(yùn)維權(quán)限竊取或破壞,防止IT人員誤操作操作系統(tǒng)故障,實(shí)際上里面還有一個(gè)問(wèn)題,就是說(shuō)我們整個(gè)這一塊還有高管層的權(quán)限,因?yàn)闄?quán)限比較高,怎么去防范。

我們沒(méi)有找到一個(gè)很好的工具,我們希望找到一個(gè)很好的工具做這件事,我們借用了信息安全成熟度滑動(dòng)標(biāo)尺作為工具進(jìn)行行業(yè)對(duì)標(biāo),確定了信息安全建設(shè)中期目標(biāo)。這是我們做安全規(guī)劃之前做的企業(yè)行業(yè)對(duì)標(biāo),這個(gè)是我們和一個(gè)安全廠商做的,我們當(dāng)年規(guī)劃的時(shí)候是在1.0的水平,威馬未來(lái)大概能做到3.0,上汽大概能在3.5左右,國(guó)外是蘋果,國(guó)內(nèi)是耳熟能詳?shù)娜A為。這是我們的指導(dǎo)理念,就是“P.P.T”。在企業(yè)是規(guī)章制度,再次是人,再次是技術(shù)。我們始終認(rèn)為,制度和人是關(guān)鍵、是核心,技術(shù)是我們的手段。

聲明: 本文系OFweek根據(jù)授權(quán)轉(zhuǎn)載自其它媒體或授權(quán)刊載,目的在于信息傳遞,并不代表本站贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé),如有新聞稿件和圖片作品的內(nèi)容、版權(quán)以及其它問(wèn)題的,請(qǐng)聯(lián)系我們。

發(fā)表評(píng)論

0條評(píng)論,0人參與

請(qǐng)輸入評(píng)論內(nèi)容...

請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字

您提交的評(píng)論過(guò)于頻繁,請(qǐng)輸入驗(yàn)證碼繼續(xù)

  • 看不清,點(diǎn)擊換一張  刷新

暫無(wú)評(píng)論

暫無(wú)評(píng)論

安防 獵頭職位 更多
文章糾錯(cuò)
x
*文字標(biāo)題:
*糾錯(cuò)內(nèi)容:
聯(lián)系郵箱:
*驗(yàn) 證 碼:

粵公網(wǎng)安備 44030502002758號(hào)