接上一篇《關于企業“下一代信息安全架構”的思考(二)》
本文為整個內容的第三部分。這是一個講究干貨的時代,需要不斷創新與落地。
第三部分:企業怎么選擇適合自身的安全架構?
(五)認識為先
前段時間和一個大型上市傳統企業的CIO溝通過,他們對安全的認識就是別出“滅頂之災”,對安全的認識還是被動的解決問題,救火的思路。在制定企業信息安全架構以前,企業高層對信息安全認識至關重要。將安全作為業務的一項核心競爭力,“主動的”進行安全建設工作,應該是一個企業高層對信息安全認識的基本出發點。
(六)企業安全架構規劃方法論及關鍵點
企業信息安全建設的總體思路圖如下。(信息安全架構是信息安全建設體系的核心指導框架和目標)
企業在進行信息安全架構頂層設計可參考的方法論如下。進行架構設計完成后,后續的詳細設計、落地建設等等也至關重要。
在制定企業信息安全架構的一些關鍵要點如下:
首先依據企業的發展戰略,明確定義企業的安全愿景、目標、角色和需要的安全能力等,然后再從業務到應用,再到系統再到基礎架構。一步步分析并制定業務安全架構、數據安全架構、應用安全架構、基礎設施安全架構等。
行業的安全要求:主要關注法律、規范等合規性的要求。比如PCI/DSS、HIPAA、等級保護、數據安全保護等。同時要關注行業的最佳實踐比如ISO 2700X、COSO企業風險管理、ITIL等。
企業的業務需求:進行現狀及風險評估,根據業務策略和IT戰略,結合信息安全總體需求,提出信息安全的總體目標、建設思路,企業安全總體架構等。
注重未來的業務發展:考慮一些前瞻性的業務方向,進行面向未來的信息安全架構頂層設計。
架構不是只設計一個框架,后續的架構管控和架構變更也一定是架構設計的一部分重要內容。
(七)企業在進行體系建設工作方法上需要關注的點有哪些?
引言:落地是最難的,引用哥倫布的故事:五百年前,當偉大的航海計劃在哥倫布心中萌動(目標清晰),他用了五年的時間成主水手(定位明確),再用了五年的時間成為學者(手段 先進),最后用了五年的時間四處演說,爭取支持(領導支持、同事理解),一朝啟程(組織到位),短短八個月里(流程順暢),哥倫布發現了新大陸,他成了在歷史的長河中流光溢彩的人物。值得信息安全人員借鑒。
(1)“大處著眼、小處入手”
僅僅講思路是不夠的,要注意操作層面的東西。 有了思路以后,必須要考慮階段性的目標、重點是什么、如何有效階段呈現工作效果讓別人認可,這些都是保證工作能持續的關鍵。
(2)“先僵化、后優化、再固化”
快速上路很重要,在實施和推廣過程中一定要堅持“先僵化、后優化、再固化”的思想,快速上路、快速調整。
(3)“三個一把手原則”
高層領導一把手,即取得最高管理層的支持和認可是項目成功的關鍵,在項目建設和變革過程中要打破部門墻;
中層各部門一把手,通過對業務流程的優化,項目實施帶給業務收益和效率提升來進行引導,這樣就減少了阻力,形成動力;
各基層部門操作崗位的一把手,更好的推廣、監督、宣傳,實現最大目標。
(4)思維的支點至關重要
從外向內看,從用戶角度向自身投射看。outside-in的思路很關鍵 而不是inside-out。其實好多時候思路的出發點最關鍵。 換位思考, outside-in,從別人的角度來映射回看問題。
(5) “以終為始”
設計好(或思考好)路線和過程,從目標定期往回審視。避免:走的太遠,忘記了為什么而出發。
(6)“持續優化,不斷改進”
選擇能夠與競爭環境和業務需求匹配的系統,盡快行動起來,開始分享項目建設帶來的回報,等待完美不會帶來收益,信息安全項目是一個持續優化,不斷改進的過程。
完成全文。
京公網安備 11010502049343號