01

为什么安全管理制度很难落地

在安全领域，我们常说“三分技术、七分管理”。实际情况也是如此，尤其涉及人、流程参与的工作，安全技术仅能解决一部分问题，通常需要安全管理协同保障，甚至管理的比重更大。但是，几乎所有企业都面临安全管理制度落地难的困惑，几个主要原因如下：

图1:为什么安全管理制度很难落地1.行业安全文化建设不足除监管较严的行业（如金融、医疗）外，行业的安全文化不够深入，导致企业和员工对安全制度缺乏认同感。2.领导层面重视不足安全部门作为成本中心、支撑部门，公司存在不重视情况。没有配套的安全领导组织、团队从上往下推动落实执行。3.仅为合规设立的制度难落地为了内/外部安全合规而建立“应付式”的制度体系，这类制度通用性强，但是内容空洞，很难在企业内进行实质性落地，也未正式红头文件发布。

4.制度与实际工作脱节

企业层面的制度总体上偏抽象和粗颗粒，与实际落地执行的具体工作（信息系统侧）存在脱节现象。02

企业通常的管理路径

1.业务管理路径分析企业业务管理的路径，企业通常先明确经营方向，在业务开展有很多业务资质要求和安全要求，从而产生了企业合规需求。合规目的是为了满足国家的法律法规，决定业务是否能够继续开展，回答“是和否”问题。企业合规中有一块是关于安全合规内容，通常需要从企业层和系统层的安全要求，因此需要建立相关的安全组织，开展安全合规、安全管理、安全技术等工作，满足基础合规。2. 安全管理路径

企业在开展安全管理工作前，需要成立安全部门（或职责挂靠其他职能部门），明确安全工作的职责，进行部门的“三定”（定岗、定编、定人），如下图：

图2：安全管理的“三定”安全管理部门的成立，并配备相应的专业人才，再推进后续的管理工作，大致流程如下：

图3：安全管理的七个路径

建制度：建立网络和数据安全管理制度体系，参照四级文件体系建设，优先推进重要的制度。

建流程：开展工作所需要的关键流程，如变更管理等。建能力：开展网络和数据安全工作需要的安全技术能力建设，需要区分企业侧能力和系统侧能力。定考核：确定关键的安全考核指标体系，例如安全事件管理、漏洞整改、关键工作落实、常态化安全工作配合、教育培训等。定工作：包括组织建设、团队设置、监督检查、安全监测、安全审计、安全培训、重要保障等关键工作。管理实施：通过安全机制，把安全管理工作进行日常的落地实施，区分常态化工作、重点工作和专项工作等类型。持续优化：整个安全管理各方面工作参照PDCA思路，进行持续优化，不断改进。03

企业网络和数据安全制度落地思路？

1.组织和人

（1）四级组织体系组织和人是开展工作的前提，需要按照工作进行整体闭环，按通常的四级安全组织架构体系，如下图：

图4：安全组织示意图

（2）网络和数据安全重要岗位

主要包括三类：安全管理类（偏管理组织、资源协调、监督检查等）、安全技术类（应急响应、渗透测试、技术检测等）、安全运维运营类（安全产品运营、日常安全运营、问题排查、技术支持等）。

2.关键制度（1）网络和数据安全的重要制度示例1）制度划分优先级。并非所有制度都需同时制定推行，企业可从业务重要性、风险等级等层面，划分制度优先级，优先制定优先级高的制度，然后逐步制定其他制度。2）结合实际需求制定制度。从企业业务合规层面出发，制定企业层面制度，通过明确各部门的工作职责，明确主要工作及要求。重要的网络和数据安全重要的制度文件清单示例（非全部），参考如下：

图5：重要的安全制度示例3.重要的机制和流程

对安全工作落实与执行的机制和流程进行分级管理，优先明确并制定重要机制和流程，其他则按照相对简化流程执行，执行情况根据公司情况纳入审计范围。可参考的机制和流程如下：

（1）重要机制：监测与预警机制、应急处置机制、风险评估机制、教育与培训机制、重要事件报告机制、重要安全保障机制等。

（2）重要流程：变更管理流程、安全检测流程、访问控制流程（账号、权限、数据导入导出）、数据备份与恢复流程、数据加密和脱敏流程、安全审计流程、安全事件响应流程、漏洞整改流程、日常巡检流程、安全监督检查流程等。中小型企业可参照，考虑优先建立重要的机制和流程。

图6：重要的安全机制和流程4.企业侧思路：制定专项工作方案企业层面的安全制度落地的核心思路之一，把制度中的重要内容转化成具体的安全工作，以专项工作方案形式进行落地实施，并通过类似“项目”管理思路，明确时间、负责人、工作计划、交付物，参考如下：（1）网络安全方面的重要工作安全技术监测、等级保护测评、定期漏洞扫描、风险整改、安全监督检查、安全审计、监测预警等等。（2）数据安全方面的重要工作数据安全审计、数据分类分级、数据资产管理、数据安全运营、数据处理活动识别、数据合规管理、权限管控等等。5.系统侧思路：编写工作说明书系统层面的制度落实思路，可以制定工作说明书的方式，对每个系统编写针对性的工作说明书，明确重要工作的开展流程和相关输入输出物，工作执行频率等内容。此外，系统层面的安全工作和运维工作紧密相连，需要与运维工程师协同合作，参考如下：（1）安全层面的重要清单安全建设方案、系统级应急演练方案、安全培训、安全加固手册、安全策略配置、安全操作手册、安全检查记录、安全测试报告等。（2）运维层面的重要清单运维操作手册、巡检记录、数据备份、日志审计、系统使用手册、CMDB资产台账、故障处理手册、变更管理、应用层应急演练等。

图7：重要工作清单及文档04

制度落地思路的总结与建议

安全制度落地和企业的业务模式和数据特点至关重要，如金融、运营商、汽车、医疗等，因为监管要求多、监管动作频繁，从上到下重视安全。

其次，由于各类监管动作不断，企业安全部门需要配合大量的安全检查，通常企业安全岗位人员有限，大部分情况被“监管检查标准”牵着鼻子，导致每次检查很辛苦，检查文件夹中躺满各类表格和佐证材料和截图，材料可复用度较低。

要想网络和数据安全管理制度在企业中有效落地，需要从制度建设、组织配备、流程管理等多维度入手。通过领导层支持、规范化的流程机制、专项工作方案的实施，企业可以构建一个有效的安全管理体系。结合主动的安全工作思路，企业不仅能满足监管要求，还能通过提升内部安全防护能力，增强企业的整体竞争力。如本文描述，想要做好安全制度体系落地实施，满足安全监管要求，从企业自身层面来说，通过实践逐步摸索的一套方法，总结如下：

图8：安全制度落地四个要点1.获得领导层支持领导层支持是安全制度成功落地的关键，因此，通过企业安全委员会等形式，形成定期的会议机制向领导层汇报安全管理工作，展示安全工作的进展、成效和决策事项。2.加强安全文化建设建立跨部门的安全工作小组，定期组织企业层面的安全培训交流、应急演练，通过全局性、跨部门合作来推动安全文化建设。抓住国家层面及监管层面的安全工作通知，类似网络安全宣传周等时机。3.避免被动式监管通过主动式的安全工作思路，从实际安全工作诉求出发，梳理出关键工作规范落实执行，可以满足90%以上各式各样的安全监管要求。实际上，无论是企业层还是系统层，关键的工作如本文所列，不会特别多，落实执行后能满足合规，安全部门通过标准动作完成尽职履职，实际工作也得到落实执行。4.安全工作文档化通过建立定期的安全报告机制（如月报或季报），确保所有安全相关工作的可追踪性。尤其针对系统层面的落地，通过常态化、规范化的明确关键工作，在日常工作中周期性进行落地，输出相关的记录和报告。通过以上内容，企业不仅能更好地解决安全管理制度落地难的问题，还能提升组织内部安全意识、引入自动化流程、强化业务与安全的结合等方面。