安基网 首页 安全 法规标准 查看内容

等保2.0时代,企业如何实现网络安全价值

2019-9-30 09:33| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: “百家”,既是“诸子百家”,亦为“百花齐放”。他们是各行各业网络安全专家:有CSO、业界大咖、权威代表,更有奋战在网安一线的实践者、思想者和分享者。安在“百家”,最佳实践,真知灼见,思想火花,期待有你!作者介绍王昊远甜橙金融信息安全管理经理 拥有5年IT服务管理与信息安全领域研究与从业 ...

“百家”,既是“诸子百家”,亦为“百花齐放”。他们是各行各业网络安全专家:有CSO、业界大咖、权威代表,更有奋战在网安一线的实践者、思想者和分享者。安在“百家”,最佳实践,真知灼见,思想火花,期待有你!


作者介绍


王昊远

甜橙金融信息安全管理经理


拥有5年IT服务管理与信息安全领域研究与从业经验,主要从事信息安全风险评估、信息安全管理体系建立和实施、信息安全规划、IT审计等方面工作,具备信息安全风险评估和信息安全管理咨询实践经验。目前主要专业领域集中于信息安全管理、信息安全审计、等级保护等方面。





随着等保2.0时代的到来,云计算、物联网、移动互联、大数据、工业控制系统、区块链、5G等新技术的快速发展,网络安全建设的重要性愈发凸显,等保2.0标准逐步从等保1.0被动防御的安全体系,向事前预防、事中响应、事后审计的动态保障体系转变,注重全方位主动防御、安全可信、动态感知和全面审计,如何利用现有的安全防护技术,提升企业网络安全防护能力,体现网络安全价值,逐渐成为企业高度关注的一个问题。

1

网络安全价值的理解


分析讨论网络安全对企业的价值,首先要弄清楚企业的价值目标。企业价值最大化是公司经营的最高纲领,满足用户的需求、扩大市场份额、加强与供应商的合作伙伴关系、缩短产品研发周期、增强员工的使命感等,所有这些都是为了一个目的,即使公司的价值最大化。企业价值最大化包含两层意思,一层是财务的观点,即获得尽可能多的利润;另一个则是战略的观点,即获得足够的发展动力、获得持久的盈利能力、获得足够的口碑和赞誉。企业的最高管理当局负有的责任,就是必须在促进公司价值最大化的过程中,创造一种有力的机制,使得公司拥有“智慧”和“长寿”。

网络安全价值作为企业价值的重要组成部分,也存在于两个方面:一是通过提升网络安全风险控制能力,对用户和企业信息的机密性、完整性和真实性进行保护,实现网络安全自身的价值;二是通过提升网络安全工作的效率以及可靠性,支持企业在业务创新、财务收入、管理效率及用户体验等方面实现应有的业务价值。

2

网络安全价值的实现

网络安全价值的实现在于明确网络安全目标及主要工作任务,确保网络安全目标与业务目标一致,并从工作任务的紧迫性、可实施性、实施难易程度和预期效果等四个角度进行综合分析,制定任务优先级和实施计划,提升网络安全工作的合规性、全面性、前瞻性和可执行性,确保合理分配相关资源和投入。网络安全价值实现的过程,可理解为网络安全建设规划实施的过程,网络安全管理一般可分解为如下活动:



图1 网络安全管理活动


2.1梳理网络安全驱动因素


网络安全驱动因素可总结如下三个来源:

1)业务发展

从业务发展的角度出发,分析业务运营活动中的用户及其安全需求,确保个人隐私及商业利益信息在网络上传输时受到安全保护;从IT战略角度出发,随着互联网蓬勃发展,IT战略的支撑作用更加迫切和明显,构筑网络安全体系应充分考虑IT战略发展规划。

2)风险事件

风险事件是推动网络安全建设的重要因素之一,风险评估是确定网络安全驱动因素最主要的一个途径,风险评估的结果反应了企业最真实的安全现状,通过综合评估企业的管理风险和技术风险,可以分析并确定具体的安全需求。

3)监管合规

与网络安全相关的法律法规是对企业的强制性要求,如《网络安全法》、《知识产权法》等,同时遵循国际与国内标准要求、行业监管规范以及企业内部制度要求等同样作为网络安全驱动因素,应加以识别并转化为信息安全需求。



图2 网络安全驱动因素

2。2

明确网络安全管控目标


网络安全管控目标是网络安全价值实现的核心,为将来的网络安全工作指明方向。网络安全目标来自于网络安全驱动因素和未来可预见的网络安全需求,网络安全管理体系的建设需要循序渐进持续完善,为了与企业IT建设同步,可通过分阶段设计的方式,逐步开展网络安全能力建设并进行落地。

一般近期目标可在企业总体网络安全方针和业务战略目标的指导下,初步建立网络安全管理体系,满足安全监管合规要求,为业务系统提供较可靠的的保障;中长期目标可在三到五年内深化网络安全管理体系建设,完善网络安全控制体系,实现有效的资源协同,为业务活动提供可靠的支撑,实现应用系统与安全系统的全面集成;在此基础上可以继续制定未来的安全建设目标,构建自适应安全体系,强化企业风险管控,为业务提供有效支撑,并与其他IT控制体系融合,提供更好的IT价值和控制。


图3 阶段设计


在互联网大数据时代,信息膨胀和数据爆炸,企业的安全边界已经进一步模糊甚至消失,完美的防御是不可能的。企业需要假定已经处于被攻击的状态,持续监控和分析企业的安全态势,并通过风险分析、攻击防御、入侵检测、回溯分析四个步骤进行风险处置,适应各种类型的攻击和攻击的各个阶段,建立既适应攻击发展,也适应业务发展的自适应安全体系。


图4 自适应安全体系

2.3

识别网络安全主要任务

网络安全任务识别可细分为风险识别、任务识别和项目识别三个步骤:

1)风险识别

结合等保2.0标准、网络安全法相关规定以及相关监管要求等,对企业网络安全管理现状进行安全风险评估,全面地对当前存在的安全风险进行识别。

2)任务识别

参考企业网络安全需求,以及利益相关者提出的意见,针对识别出的安全风险问题提出具体的改进措施,明确相应的实施任务,并形成网络安全任务与风险点映射表及安全任务清单。

3)项目识别

根据上述网络安全任务清单,可从人员、管理和技术三个维度,对相关联任务进行整合,形成相应的人员规划类、管理咨询类和技术工程类实施项目群。

2。4

制定网络安全任务规划


网络安全任务规划需遵循合规性、一致性、前瞻性、适用性、渐进性和成本效益六个原则,明确阶段性安全工作部署。根据网络安全任务识别结果,可综合考虑紧迫性、可实施性、难易程度、预期效果等维度,建立网络安全规划任务综合分析模型,对每个因素进行评分,定量计算每项任务的优先级,以此确定相应项目的实施优先级,建立安全规划项目路线图,落实关键实施策略,确保规划项目落地执行。


图5 任务规划分解


2.5

实现网络安全阶段目标


通过项目组合或者项目集的方式实现阶段性网络安全目标:通过人员规划类项目,优化安全管理组织架构、提升人员技能和素质、强化人员绩效的监控和评价;通过管理咨询类项目优化管理流程,增强内部管控力度,提升信息安全综合管控水平;通过技术工程类项目,采购和部署必要的设备和平台,更好的落实信息安全管理措施,提升工作效率。基于不同阶段的目标实现,可对其相应的价值回报进行评估,作为下一阶段安全目标优化和安全规划调整的依据。

2。6

推动网络安全能力输出


在网络安全建设建设过程中,积累实施经验,通过为同行业提供安全咨询服务,或输出安全产品及技术支持等支撑服务,获取收益回报,促进网络安全价值的最大化。

3

网络安全价值实现关键因素

3。1

业务驱动


网络安全建设的最终目的是为业务的开展提供支持和保障,因此网络安全任务的实施一定要从业务的角度出发,不可仅仅看作是技术的任务。在实施时必须时刻考虑到业务的需求,在安全性和业务开展的便利性之间找到平衡点,同时提高业务部门对网络安全工作的理解和认识,在网络安全规划实施过程中获得业务部门的支持与配合,共同推动网络安全规划实施的开展,真正做到网络安全为业务服务。

3.2

高层的支持


网络安全规划实施通常情况下会涉及到企业的各个部门的参与、配合乃至利益关系,因此在实施过程中需要企业高层的支持甚至是参与协调各部门的关系,建立跨部门的协作机制,以保证项目的顺利实施。

3。3

有效的实施管理和监控


网络安全规划实施一般要包含数十个任务/子任务,其中一些任务的实施时间跨度长、投资大,而且相互之间存在着一定的依赖关系,这些对于企业都是很大的挑战。为了获取建设的最大收益,并最大程度降低风险,需要落实强有力的实施管理和监控措施,在跟踪总体计划的同时,合理安排各任务的进度和资源,强化对各任务/子任务的管理和监控,对于重点任务应投入由专门的安全人员全程参与,及时掌握任务的实施情况,并根据企业IT建设的情况及时进行调整。

3。4

长期可靠的合作伙伴


网络安全规划实施的任务一般涵盖范围较广,涉及到许多专业的技术和产品,需要广泛借鉴网络安全相关法律法规、监管要求、国内国际标准和最佳实践理念,又要充分结合企业内部对网络安全的特定需求,根据企业自身的网络安全风险管理能力,选择良好的合作伙伴对于保证网络安全建设能够成功实施是十分重要的。通过长期可靠的合作关系,快速引进外部专业资源和先进技术,帮助企业推动信息安全建设工作。

4

网络安全价值的评价

衡量网络安全价值大小,最重要的是要得到用户(内部用户或外部客户)的认可,同时评价网络安全价值的大小,应评估网络安全的建设是否始终围绕企业的核心目标开展相关工作。根据以上网络安全价值实现的分析,对网络安全价值的评价有以下思路和建议供参考。

4.1

对需求管理过程的评价


确定企业业务战略、业务发展需求及相关安全合规要求是否得到有效的收集、汇总和提炼;判断业务需求清晰传达到了网络安全管理部门,网络安全管理部门在成本质量原则的基础上,是否充分考虑业务需求和合规要求,完成了相应的安全管理和建设规划,高效开展了安全运营或安全建设活动。

4.2

对网络安全建设投资绩效的评价


1)商业论证和可行性研究

在提出网络安全建设项目提案时,要进行商业论证,确保提案项目符合企业发展战略和IT规划的要求,并在业务适宜性、技术可行性、财务可行性、架构适宜性、风险可控性、监管合规性等方面符合企业管理制度与规范的要求。

2)网络安全资源配置方式

从服务于业务需求和满足安全合规的角度规划网络安全的技术和资源的获取方式,建立和识别合理的网络安全建设的方式和规模,通过自主开发、服务采购、内外包结合等方式获取合适的网络安全技术和资源,达到安全产品和服务的自主可控,并实现预期的网络安全价值收益。

3)网络安全投资管理

规范网络安全项目的预算管理、核算管理、成本分摊及管理控制流程,明确网络安全投资管理过程中相关部门的职责和分工,建立配套的组织架构和工作流程,保证对网络投资全过程管理的实现;通过投资组合的方式,建立可量化的指标对网络安全投入进行管理,测算安全技术给企业带来的商业价值,从业务价值的角度管理重大项目交付和资源配置。

4。3

对网络安全支撑业务能力的评价


企业的网络安全建设最重要的是对用户和企业信息提供安全保护,确保业务安全稳定运营。对网络安全价值的评价应当从业务覆盖程度、用户(内部和外部)体验、风险控制和隐私信息保护等维度进行满意度调查,同时应当对网络安全系统从系统可靠性和可维护性等方面进行质量评估。

4。4

对网络安全支持业务创新能力的评价


网络安全的价值不仅体现在要支持当前业务的建设与运营,还需要能支持未来业务的发展和变革,这点对于技术和业务处于创新前沿的金融机构尤其重要。新业务场景需要新的网络安全防护能力的支撑,企业应开始培育新技术环境下的网络安全防护能力。可从战略迅速决策、需求有效把握、项目快速实施、系统部署与服务、自适应网络安全等方面评价当前的网络安全管理团队是否具有这方面的能力。

5

结束语


网络安全建设不是静态的,而是会随着企业业务发展、外部环境和监管环境变化而产生不确定性,网络安全管理部门应始终围绕企业的核心目标开展相关工作,切实降低业务风险,实现网络安全价值的最大化。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6741989470037344775/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
湖南快乐十分官网 极速赛车7码 山东11选5计划 山东11选5计划 乐发彩票计划群 PC蛋蛋机器人 极速赛车登陆 极速赛车人工计划 湖北快3走势 福建快3开奖