企業(yè)如何搞好安全體系化建設(shè)?

做為老板，業(yè)務(wù)，安全從業(yè)人員在這個問題的答案會是這樣嗎?

做為老板，積極關(guān)注安全事務(wù)，并提供相應(yīng)的資源，包括錢，權(quán)，時間，關(guān)注安全人員成長，并給予極大的信任及期望;

做為業(yè)務(wù)人員，積極響應(yīng)并緊密配合，將安全也加進(jìn)KPI，把安全部門反饋來的問題都及時的處理，并和安全部門建立很好的戰(zhàn)略合作關(guān)系;

而做為安全人員，利用安全運營平臺及技術(shù)，識別及處理安全事件，能夠為公司業(yè)務(wù)持續(xù)運營提供了保駕護(hù)航的安全能力輸出，讓老板能多多掙錢，自已也走上升職加薪的成功之路。

可事實上呢?

老板與高層并不關(guān)心所謂的安全體系化建議，或者說不關(guān)注安全，他關(guān)注的只是核心業(yè)務(wù)，資本運作以及更多公司遠(yuǎn)景方面的事物;

業(yè)務(wù)人員關(guān)心的是產(chǎn)品何時上線，產(chǎn)品如何得到市場的認(rèn)可，如何轉(zhuǎn)化成收益，對安全的態(tài)度是可以加入，但別影響我上線，線上有漏洞了，關(guān)我啥事?你管安全的又不是我管;

而安全人員呢，每天是救不完的火，打不完的口水仗，開不完的扯皮會，挖不完的洞，還要應(yīng)對上面下面左面右面源源不斷的質(zhì)疑，哪有時間體系化?

[[338284]]

那怎么做呢?

筆者認(rèn)為是讓安全體系化建設(shè)產(chǎn)生價值;

做為安全的負(fù)責(zé)人有很大的責(zé)任，要知道公司高層的愿景，這樣才能將就要把相應(yīng)的工作重點轉(zhuǎn)移到公司愿景上來，形成安全工作愿景，這就是常說的上下同欲，這樣即能達(dá)成老板的目標(biāo)，也可以發(fā)展相應(yīng)的安全業(yè)務(wù)，何樂而不為?

安全體系建設(shè)，說到底就是形成一套有人管(安全管理)，有術(shù)控(安全技術(shù))，日常有序(安全運營)的有效安全策略措施的集成體;

開展工作，首先要把合規(guī)工作做好，千萬不要應(yīng)付和敷衍;現(xiàn)在的網(wǎng)絡(luò)安全法，網(wǎng)絡(luò)安全等級保護(hù)條例，GDPR，SOX404，ICP年審，以及各部委的安全專項檢查，如果出現(xiàn)問題，企業(yè)可能會造成很大的影響，這是老板關(guān)心的，這樣你就會發(fā)現(xiàn)好多事都可以開展;

其它，安全基礎(chǔ)工作做好，千萬不要信有什么銀彈，安全體系不是一下子就能做好的，要同時根據(jù)業(yè)務(wù)和安全愿景，通過安全事件進(jìn)行推動，協(xié)調(diào)相應(yīng)人員，將處理流程文檔化，軟件統(tǒng)一化，SDL埋點(與業(yè)務(wù)商量或者培訓(xùn)QA)，人員培訓(xùn)計劃等;也許當(dāng)你完成了短期目標(biāo)(1-2年)，安全體系的雛形就已呈現(xiàn)了，后期再慢慢完善相應(yīng)的模塊，補充相應(yīng)的安全防御產(chǎn)品及技術(shù)手段，相信在您的五年期目標(biāo)，會形成有效的信息安全體系，提供給要保護(hù)的目標(biāo)一個有效的縱深防御架構(gòu)，而后就是優(yōu)化，依據(jù)PDCA的模型，對安全策略和體系進(jìn)行更新，調(diào)整及優(yōu)化;

最后就是日常安全務(wù)處理，也就是筆者個人理解的安全運營，如果有真正的安全運營平臺，將安全策略下發(fā)，流量監(jiān)控，安全事件處理聯(lián)動，安全風(fēng)險預(yù)警等日常工作自動化處理，那么未來招聘的崗位可能會有安全平臺策略分析師，以及可以什么也不懂的流水線專職的安全運營工程師了;

筆者認(rèn)為，信息安全體系建設(shè)的價值是體現(xiàn)在公司上的，只有根據(jù)公司業(yè)務(wù)經(jīng)過不斷調(diào)優(yōu)才是最好的;公司業(yè)務(wù)和發(fā)展階段都不一致，相信每個安全從業(yè)人員在內(nèi)心中也都有一個自認(rèn)為最好的，最能體現(xiàn)自我價值的那個;

加油，奧力給!