01
为什么安全管理制度很难落地
在安全领域,我们常说“三分技术、七分管理”。实际情况也是如此,尤其涉及人、流程参与的工作,安全技术仅能解决一部分问题,通常需要安全管理协同保障,甚至管理的比重更大。但是,几乎所有企业都面临安全管理制度落地难的困惑,几个主要原因如下:
图1:为什么安全管理制度很难落地1.行业安全文化建设不足除监管较严的行业(如金融、医疗)外,行业的安全文化不够深入,导致企业和员工对安全制度缺乏认同感。2.领导层面重视不足安全部门作为成本中心、支撑部门,公司存在不重视情况。没有配套的安全领导组织、团队从上往下推动落实执行。3.仅为合规设立的制度难落地为了内/外部安全合规而建立“应付式”的制度体系,这类制度通用性强,但是内容空洞,很难在企业内进行实质性落地,也未正式红头文件发布。4.制度与实际工作脱节
企业层面的制度总体上偏抽象和粗颗粒,与实际落地执行的具体工作(信息系统侧)存在脱节现象。02企业通常的管理路径
1.业务管理路径分析企业业务管理的路径,企业通常先明确经营方向,在业务开展有很多业务资质要求和安全要求,从而产生了企业合规需求。合规目的是为了满足国家的法律法规,决定业务是否能够继续开展,回答“是和否”问题。企业合规中有一块是关于安全合规内容,通常需要从企业层和系统层的安全要求,因此需要建立相关的安全组织,开展安全合规、安全管理、安全技术等工作,满足基础合规。2. 安全管理路径企业在开展安全管理工作前,需要成立安全部门(或职责挂靠其他职能部门),明确安全工作的职责,进行部门的“三定”(定岗、定编、定人),如下图:
图2:安全管理的“三定”安全管理部门的成立,并配备相应的专业人才,再推进后续的管理工作,大致流程如下:图3:安全管理的七个路径
建制度:建立网络和数据安全管理制度体系,参照四级文件体系建设,优先推进重要的制度。
建流程:开展工作所需要的关键流程,如变更管理等。建能力:开展网络和数据安全工作需要的安全技术能力建设,需要区分企业侧能力和系统侧能力。定考核:确定关键的安全考核指标体系,例如安全事件管理、漏洞整改、关键工作落实、常态化安全工作配合、教育培训等。定工作:包括组织建设、团队设置、监督检查、安全监测、安全审计、安全培训、重要保障等关键工作。管理实施:通过安全机制,把安全管理工作进行日常的落地实施,区分常态化工作、重点工作和专项工作等类型。持续优化:整个安全管理各方面工作参照PDCA思路,进行持续优化,不断改进。03企业网络和数据安全制度落地思路?
1.组织和人
(1)四级组织体系组织和人是开展工作的前提,需要按照工作进行整体闭环,按通常的四级安全组织架构体系,如下图:图4:安全组织示意图(2)网络和数据安全重要岗位
主要包括三类:安全管理类(偏管理组织、资源协调、监督检查等)、安全技术类(应急响应、渗透测试、技术检测等)、安全运维运营类(安全产品运营、日常安全运营、问题排查、技术支持等)。
2.关键制度(1)网络和数据安全的重要制度示例1)制度划分优先级。并非所有制度都需同时制定推行,企业可从业务重要性、风险等级等层面,划分制度优先级,优先制定优先级高的制度,然后逐步制定其他制度。2)结合实际需求制定制度。从企业业务合规层面出发,制定企业层面制度,通过明确各部门的工作职责,明确主要工作及要求。重要的网络和数据安全重要的制度文件清单示例(非全部),参考如下:图5:重要的安全制度示例3.重要的机制和流程对安全工作落实与执行的机制和流程进行分级管理,优先明确并制定重要机制和流程,其他则按照相对简化流程执行,执行情况根据公司情况纳入审计范围。可参考的机制和流程如下:
(1)重要机制:监测与预警机制、应急处置机制、风险评估机制、教育与培训机制、重要事件报告机制、重要安全保障机制等。
(2)重要流程:变更管理流程、安全检测流程、访问控制流程(账号、权限、数据导入导出)、数据备份与恢复流程、数据加密和脱敏流程、安全审计流程、安全事件响应流程、漏洞整改流程、日常巡检流程、安全监督检查流程等。中小型企业可参照,考虑优先建立重要的机制和流程。
图6:重要的安全机制和流程4.企业侧思路:制定专项工作方案企业层面的安全制度落地的核心思路之一,把制度中的重要内容转化成具体的安全工作,以专项工作方案形式进行落地实施,并通过类似“项目”管理思路,明确时间、负责人、工作计划、交付物,参考如下:(1)网络安全方面的重要工作安全技术监测、等级保护测评、定期漏洞扫描、风险整改、安全监督检查、安全审计、监测预警等等。(2)数据安全方面的重要工作数据安全审计、数据分类分级、数据资产管理、数据安全运营、数据处理活动识别、数据合规管理、权限管控等等。5.系统侧思路:编写工作说明书系统层面的制度落实思路,可以制定工作说明书的方式,对每个系统编写针对性的工作说明书,明确重要工作的开展流程和相关输入输出物,工作执行频率等内容。此外,系统层面的安全工作和运维工作紧密相连,需要与运维工程师协同合作,参考如下:(1)安全层面的重要清单安全建设方案、系统级应急演练方案、安全培训、安全加固手册、安全策略配置、安全操作手册、安全检查记录、安全测试报告等。(2)运维层面的重要清单运维操作手册、巡检记录、数据备份、日志审计、系统使用手册、CMDB资产台账、故障处理手册、变更管理、应用层应急演练等。图7:重要工作清单及文档04制度落地思路的总结与建议
安全制度落地和企业的业务模式和数据特点至关重要,如金融、运营商、汽车、医疗等,因为监管要求多、监管动作频繁,从上到下重视安全。其次,由于各类监管动作不断,企业安全部门需要配合大量的安全检查,通常企业安全岗位人员有限,大部分情况被“监管检查标准”牵着鼻子,导致每次检查很辛苦,检查文件夹中躺满各类表格和佐证材料和截图,材料可复用度较低。
要想网络和数据安全管理制度在企业中有效落地,需要从制度建设、组织配备、流程管理等多维度入手。通过领导层支持、规范化的流程机制、专项工作方案的实施,企业可以构建一个有效的安全管理体系。结合主动的安全工作思路,企业不仅能满足监管要求,还能通过提升内部安全防护能力,增强企业的整体竞争力。如本文描述,想要做好安全制度体系落地实施,满足安全监管要求,从企业自身层面来说,通过实践逐步摸索的一套方法,总结如下:图8:安全制度落地四个要点1.获得领导层支持领导层支持是安全制度成功落地的关键,因此,通过企业安全委员会等形式,形成定期的会议机制向领导层汇报安全管理工作,展示安全工作的进展、成效和决策事项。2.加强安全文化建设建立跨部门的安全工作小组,定期组织企业层面的安全培训交流、应急演练,通过全局性、跨部门合作来推动安全文化建设。抓住国家层面及监管层面的安全工作通知,类似网络安全宣传周等时机。3.避免被动式监管通过主动式的安全工作思路,从实际安全工作诉求出发,梳理出关键工作规范落实执行,可以满足90%以上各式各样的安全监管要求。实际上,无论是企业层还是系统层,关键的工作如本文所列,不会特别多,落实执行后能满足合规,安全部门通过标准动作完成尽职履职,实际工作也得到落实执行。4.安全工作文档化通过建立定期的安全报告机制(如月报或季报),确保所有安全相关工作的可追踪性。尤其针对系统层面的落地,通过常态化、规范化的明确关键工作,在日常工作中周期性进行落地,输出相关的记录和报告。通过以上内容,企业不仅能更好地解决安全管理制度落地难的问题,还能提升组织内部安全意识、引入自动化流程、强化业务与安全的结合等方面。