01
为什么安全管理制度很难落地
在安全领域,我们常说“三分技术、七分管理”。实际情况也是如此,尤其涉及人、流程参与的工作,安全技术仅能解决一部分问题,通常需要安全管理协同保障,甚至管理的比重更大。但是,几乎所有企业都面临安全管理制度落地难的困惑,几个主要原因如下:
图1:为什么安全管理制度很难落地
1.行业安全文化建设不足
除监管较严的行业(如金融、医疗)外,行业的安全文化不够深入,导致企业和员工对安全制度缺乏认同感。
2.领导层面重视不足
安全部门作为成本中心、支撑部门,公司存在不重视情况。没有配套的安全领导组织、团队从上往下推动落实执行。
3.仅为合规设立的制度难落地
为了内/外部安全合规而建立“应付式”的制度体系,这类制度通用性强,但是内容空洞,很难在企业内进行实质性落地,也未正式红头文件发布。
4.制度与实际工作脱节
企业层面的制度总体上偏抽象和粗颗粒,与实际落地执行的具体工作(信息系统侧)存在脱节现象。
02
企业通常的管理路径
1.业务管理路径
分析企业业务管理的路径,企业通常先明确经营方向,在业务开展有很多业务资质要求和安全要求,从而产生了企业合规需求。
合规目的是为了满足国家的法律法规,决定业务是否能够继续开展,回答“是和否”问题。企业合规中有一块是关于安全合规内容,通常需要从企业层和系统层的安全要求,因此需要建立相关的安全组织,开展安全合规、安全管理、安全技术等工作,满足基础合规。
2. 安全管理路径
企业在开展安全管理工作前,需要成立安全部门(或职责挂靠其他职能部门),明确安全工作的职责,进行部门的“三定”(定岗、定编、定人),如下图:
图2:安全管理的“三定”
安全管理部门的成立,并配备相应的专业人才,再推进后续的管理工作,大致流程如下:
图3:安全管理的七个路径
建制度:建立网络和数据安全管理制度体系,参照四级文件体系建设,优先推进重要的制度。
建流程:开展工作所需要的关键流程,如变更管理等。
建能力:开展网络和数据安全工作需要的安全技术能力建设,需要区分企业侧能力和系统侧能力。
定考核:确定关键的安全考核指标体系,例如安全事件管理、漏洞整改、关键工作落实、常态化安全工作配合、教育培训等。
定工作:包括组织建设、团队设置、监督检查、安全监测、安全审计、安全培训、重要保障等关键工作。
管理实施:通过安全机制,把安全管理工作进行日常的落地实施,区分常态化工作、重点工作和专项工作等类型。
持续优化:整个安全管理各方面工作参照PDCA思路,进行持续优化,不断改进。
03
企业网络和数据安全制度落地思路?
1.组织和人
(1)四级组织体系
组织和人是开展工作的前提,需要按照工作进行整体闭环,按通常的四级安全组织架构体系,如下图:
图4:安全组织示意图
(2)网络和数据安全重要岗位
主要包括三类:安全管理类(偏管理组织、资源协调、监督检查等)、安全技术类(应急响应、渗透测试、技术检测等)、安全运维运营类(安全产品运营、日常安全运营、问题排查、技术支持等)。
2.关键制度
(1)网络和数据安全的重要制度示例
1)制度划分优先级。并非所有制度都需同时制定推行,企业可从业务重要性、风险等级等层面,划分制度优先级,优先制定优先级高的制度,然后逐步制定其他制度。
2)结合实际需求制定制度。从企业业务合规层面出发,制定企业层面制度,通过明确各部门的工作职责,明确主要工作及要求。
重要的网络和数据安全重要的制度文件清单示例(非全部),参考如下:
图5:重要的安全制度示例
3.重要的机制和流程
对安全工作落实与执行的机制和流程进行分级管理,优先明确并制定重要机制和流程,其他则按照相对简化流程执行,执行情况根据公司情况纳入审计范围。可参考的机制和流程如下:
(1)重要机制:监测与预警机制、应急处置机制、风险评估机制、教育与培训机制、重要事件报告机制、重要安全保障机制等。
(2)重要流程:变更管理流程、安全检测流程、访问控制流程(账号、权限、数据导入导出)、数据备份与恢复流程、数据加密和脱敏流程、安全审计流程、安全事件响应流程、漏洞整改流程、日常巡检流程、安全监督检查流程等。中小型企业可参照,考虑优先建立重要的机制和流程。
图6:重要的安全机制和流程
4.企业侧思路:制定专项工作方案
企业层面的安全制度落地的核心思路之一,把制度中的重要内容转化成具体的安全工作,以专项工作方案形式进行落地实施,并通过类似“项目”管理思路,明确时间、负责人、工作计划、交付物,参考如下:
(1)网络安全方面的重要工作
安全技术监测、等级保护测评、定期漏洞扫描、风险整改、安全监督检查、安全审计、监测预警等等。
(2)数据安全方面的重要工作
数据安全审计、数据分类分级、数据资产管理、数据安全运营、数据处理活动识别、数据合规管理、权限管控等等。
5.系统侧思路:编写工作说明书
系统层面的制度落实思路,可以制定工作说明书的方式,对每个系统编写针对性的工作说明书,明确重要工作的开展流程和相关输入输出物,工作执行频率等内容。此外,系统层面的安全工作和运维工作紧密相连,需要与运维工程师协同合作,参考如下:
(1)安全层面的重要清单
安全建设方案、系统级应急演练方案、安全培训、安全加固手册、安全策略配置、安全操作手册、安全检查记录、安全测试报告等。
(2)运维层面的重要清单
运维操作手册、巡检记录、数据备份、日志审计、系统使用手册、CMDB资产台账、故障处理手册、变更管理、应用层应急演练等。
图7:重要工作清单及文档
04
制度落地思路的总结与建议
安全制度落地和企业的业务模式和数据特点至关重要,如金融、运营商、汽车、医疗等,因为监管要求多、监管动作频繁,从上到下重视安全。
其次,由于各类监管动作不断,企业安全部门需要配合大量的安全检查,通常企业安全岗位人员有限,大部分情况被“监管检查标准”牵着鼻子,导致每次检查很辛苦,检查文件夹中躺满各类表格和佐证材料和截图,材料可复用度较低。
要想网络和数据安全管理制度在企业中有效落地,需要从制度建设、组织配备、流程管理等多维度入手。通过领导层支持、规范化的流程机制、专项工作方案的实施,企业可以构建一个有效的安全管理体系。
结合主动的安全工作思路,企业不仅能满足监管要求,还能通过提升内部安全防护能力,增强企业的整体竞争力。
如本文描述,想要做好安全制度体系落地实施,满足安全监管要求,从企业自身层面来说,通过实践逐步摸索的一套方法,总结如下:
图8:安全制度落地四个要点
1.获得领导层支持
领导层支持是安全制度成功落地的关键,因此,通过企业安全委员会等形式,形成定期的会议机制向领导层汇报安全管理工作,展示安全工作的进展、成效和决策事项。
2.加强安全文化建设
建立跨部门的安全工作小组,定期组织企业层面的安全培训交流、应急演练,通过全局性、跨部门合作来推动安全文化建设。抓住国家层面及监管层面的安全工作通知,类似网络安全宣传周等时机。
3.避免被动式监管
通过主动式的安全工作思路,从实际安全工作诉求出发,梳理出关键工作规范落实执行,可以满足90%以上各式各样的安全监管要求。实际上,无论是企业层还是系统层,关键的工作如本文所列,不会特别多,落实执行后能满足合规,安全部门通过标准动作完成尽职履职,实际工作也得到落实执行。
4.安全工作文档化
通过建立定期的安全报告机制(如月报或季报),确保所有安全相关工作的可追踪性。尤其针对系统层面的落地,通过常态化、规范化的明确关键工作,在日常工作中周期性进行落地,输出相关的记录和报告。
通过以上内容,企业不仅能更好地解决安全管理制度落地难的问题,还能提升组织内部安全意识、引入自动化流程、强化业务与安全的结合等方面。
热门跟贴