精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當(dāng)前位置:安全行業(yè)動(dòng)態(tài) → 正文

淺談甲方企業(yè)信息安全建設(shè)的方法論

責(zé)任編輯:cres 作者:shengl99 |來(lái)源:企業(yè)網(wǎng)D1Net  2020-03-03 14:00:59 本文摘自:FreeBuf

從目前了解的情況來(lái)看,甲方安全團(tuán)隊(duì)規(guī)模在一個(gè)企業(yè)內(nèi)部的人員占比還是非常低的,在企業(yè)安全建設(shè)中,大部分安全措施的落地都是由系統(tǒng)、業(yè)務(wù)和開(kāi)發(fā)團(tuán)隊(duì)來(lái)實(shí)施。這時(shí)候,對(duì)于安全團(tuán)隊(duì)來(lái)說(shuō),就非常需要注意安全工作的方式方法了,以便將企業(yè)的信息安全建設(shè)逐步走向正軌。本文就是我對(duì)企業(yè)信息安全建設(shè)的方法論的一些思考。
 
一、緊隨高層利益攸關(guān)者
 
在企業(yè)粗放式發(fā)展初期,甚至是進(jìn)入大企業(yè)行列,信息安全也可能根本就不會(huì)進(jìn)入CTO的思考范圍,更別說(shuō)CEO級(jí)別的管理層了。當(dāng)然這兩年情況好多了,在網(wǎng)絡(luò)安全法頒發(fā)、中央網(wǎng)信委成立后,CEO級(jí)別的管理層公開(kāi)支持網(wǎng)絡(luò)安全工作必然是政治上正確的事,但這也不一定能成為你開(kāi)展信息安全工作堅(jiān)強(qiáng)后盾。筆者以為,信息安全工作最堅(jiān)強(qiáng)的后盾應(yīng)該是數(shù)據(jù)中心老大或CTO類(lèi)的人員,因?yàn)樾畔踩录畲蟮氖芎φ呖赡苁撬麄儯霈F(xiàn)重大信息安全事件最可能履責(zé)者也較大可能是他們。因此,從某種程度上說(shuō),我們和數(shù)據(jù)中心老大或CTO類(lèi)老大對(duì)安全的訴求是一致的,我們要緊緊跟隨在他們周?chē)m當(dāng)利用他們的權(quán)力和影響力把一些信息安全訴求傳遞出去。但是,我們也不能什么事都往CTO那里轉(zhuǎn),如果這樣,要你信息安全部干什么?有些事能控制風(fēng)險(xiǎn)就本級(jí)解決吧。這里就有個(gè)問(wèn)題,哪些事是需要上升到CTO級(jí)別人員解決的呢?需要各位CSO們自己考慮掌握了。
 
二、團(tuán)結(jié)同盟軍
 
雖然信息安全占據(jù)了一定的政策利好以及領(lǐng)導(dǎo)支持優(yōu)勢(shì),但是,人少要求多是不可忽視的基本事實(shí),因此,這就要求信息安全團(tuán)隊(duì)需在企業(yè)內(nèi)部找到同盟軍,以應(yīng)對(duì)更加突出的安全風(fēng)險(xiǎn)。一般來(lái)說(shuō),基礎(chǔ)設(shè)施部門(mén)是一個(gè)不錯(cuò)的同盟軍選擇,比如網(wǎng)絡(luò)團(tuán)隊(duì)、云管平臺(tái)團(tuán)隊(duì)、主機(jī)系統(tǒng)團(tuán)隊(duì)等。主要原因有:(一)基礎(chǔ)設(shè)施規(guī)模龐大,整改難度大,盲目把他們作為主要治理對(duì)象可能會(huì)很難出成績(jī);(二)信息安全基礎(chǔ)設(shè)施的很多建設(shè)需要依賴(lài)基礎(chǔ)設(shè)施部門(mén)支持,比如流量采集、監(jiān)控節(jié)點(diǎn)部署、主機(jī)申請(qǐng)、網(wǎng)絡(luò)策略開(kāi)通等。(三)基礎(chǔ)設(shè)施大部分都不會(huì)直接對(duì)外,風(fēng)險(xiǎn)等級(jí)不會(huì)太高,反觀應(yīng)用安全確是當(dāng)前風(fēng)險(xiǎn)等級(jí)最高、安全管理最急迫的領(lǐng)域。通過(guò)團(tuán)結(jié)同盟軍,一起把應(yīng)用開(kāi)發(fā)安全管理好,在此之中,再逐步對(duì)基礎(chǔ)設(shè)施部門(mén)提一些容易整改的安全需求,畢竟也是一個(gè)戰(zhàn)壕里的戰(zhàn)友,基礎(chǔ)設(shè)施部門(mén)估計(jì)也不好意思拒絕。當(dāng)然,各個(gè)單位遇到的突出矛盾和情況也存在很大差別,尋找什么樣的同盟軍需要自己斟酌考慮。
 
三、抓主要矛盾
 
雖然企業(yè)安全團(tuán)隊(duì)可能懷抱偉大理想,團(tuán)隊(duì)初建可能意氣風(fēng)發(fā),躊躇滿(mǎn)志,想盡快把企業(yè)安全防護(hù)水平整體提高一個(gè)臺(tái)階,但是,對(duì)于系統(tǒng)、開(kāi)發(fā)以及業(yè)務(wù)團(tuán)隊(duì)來(lái)說(shuō),企業(yè)安全建設(shè)與管理都是給人家添加工作量的事情,可能因?yàn)橐粋€(gè)安全要求導(dǎo)致他們整個(gè)系統(tǒng)要返工重做,從思想上、意識(shí)上有一定的反抗情緒也是人之常情。因此,對(duì)于企業(yè)安全建設(shè)來(lái)說(shuō),最重要的工作是做調(diào)查研究,了解企業(yè)IT建設(shè)與安全管理現(xiàn)狀,識(shí)別影響組織和企業(yè)最大的風(fēng)險(xiǎn),然后再根據(jù)風(fēng)險(xiǎn)找出安全管理的牛鼻子方法,抓住安全風(fēng)險(xiǎn)的主要矛盾,這也是ROI平衡的一個(gè)具體方面,切不可能眉目胡子一把抓,事事都管,沒(méi)有重點(diǎn),把本就弱小的安全團(tuán)隊(duì)像撒芝麻一樣撒到各個(gè)項(xiàng)目或事務(wù)中,不能團(tuán)結(jié)一致干一件事,最后估計(jì)也難成一事。
 
四、以可證明的風(fēng)險(xiǎn)說(shuō)話(huà)
 
Linux 的創(chuàng)始人 Linus Torvalds 在 2000-08-25 給linux-kernel 郵件列表的一封郵件提到的:Talk is cheap,Show me the code。在安全管理上依然適用,當(dāng)我們像唐僧念經(jīng)一樣翻來(lái)覆去的提示風(fēng)險(xiǎn),揭示風(fēng)險(xiǎn),卻沒(méi)有任何”漏洞利用證明“,也不能拿出有效規(guī)避風(fēng)險(xiǎn)辦法,對(duì)于企業(yè)里的其他人員來(lái)說(shuō),這些語(yǔ)言來(lái)說(shuō)都是蒼白無(wú)力,而且還會(huì)對(duì)信息安全部門(mén)產(chǎn)生無(wú)用論、能力不足論等思想。風(fēng)險(xiǎn)本來(lái)就是抽象的,把抽象的概念傳達(dá)給企業(yè)內(nèi)員工,我們只能用結(jié)果來(lái)說(shuō)話(huà),比如拿下系統(tǒng)控制權(quán)、下載了關(guān)鍵數(shù)據(jù)等。因此,我們要充分發(fā)揮自己的專(zhuān)業(yè)能力,利用滲透測(cè)試、眾測(cè)、攻防演練去最大限度的發(fā)現(xiàn)及證明各類(lèi)風(fēng)險(xiǎn)危害,用鮮活的事例來(lái)教育員工。
 
五、切不可本本主義
 
安全工作最大的兩個(gè)動(dòng)力:事件驅(qū)動(dòng)和監(jiān)管要求。內(nèi)部安全事件不能經(jīng)常發(fā)生吧,外部事件又總是有點(diǎn)隔靴搔癢之感,能說(shuō)一說(shuō),但是很難轉(zhuǎn)化為行動(dòng)的動(dòng)力。很多時(shí)候能說(shuō)事就只有監(jiān)管要求,但是我們也要注意不能拿著監(jiān)管要求、安全體系等盲目要求按章辦事、逐條落實(shí),不考慮企業(yè)現(xiàn)狀,這就會(huì)犯了本本主義和教條主義錯(cuò)誤。比如,監(jiān)管要求中要求:生產(chǎn)和測(cè)試網(wǎng)絡(luò)要嚴(yán)格隔離。這一條用意當(dāng)然是好的,但是要在企業(yè)內(nèi)部有效實(shí)施肯定會(huì)面臨較大的阻礙,例如,有些系統(tǒng)想運(yùn)轉(zhuǎn)起來(lái)就是要求能夠?qū)崿F(xiàn)測(cè)試和生產(chǎn)聯(lián)通;有些系統(tǒng)在測(cè)試環(huán)境搭建測(cè)試系統(tǒng)成本很大等等,這時(shí)候都可會(huì)導(dǎo)致生產(chǎn)和測(cè)試不能完全隔離。此時(shí),就需要安全部門(mén)具有問(wèn)題具體分析,靈活對(duì)待,在不違反重大原則、導(dǎo)致重大風(fēng)險(xiǎn)的情況下可以適當(dāng)?shù)摹⒂邢薅鹊拈_(kāi)綠燈。
 
六、慎用尚方寶劍
 
在企業(yè)的內(nèi)部規(guī)章制度中,信息安全一般都會(huì)有一定的考核權(quán)和處罰權(quán),也可能有些大領(lǐng)導(dǎo)的直接授權(quán)等,以此作為企業(yè)安全管理的尚方寶劍。但是,筆者想說(shuō)的是,對(duì)于弱小且處于擴(kuò)張中的團(tuán)隊(duì)來(lái)說(shuō),一定要慎用尚方寶劍,使用不當(dāng)會(huì)導(dǎo)致我們提前樹(shù)敵。雖然,我們本意和目的不是懲戒,主要目是提高安全意識(shí)。但是,我們應(yīng)當(dāng)明白,我們的處罰對(duì)于別人來(lái)說(shuō)都會(huì)造成經(jīng)濟(jì)上、聲譽(yù)上的損失,從而會(huì)對(duì)信息安全團(tuán)隊(duì)本身產(chǎn)生一定的逆反心理。同樣,對(duì)于其他人員來(lái)說(shuō),這也會(huì)導(dǎo)致他們對(duì)信息安全團(tuán)隊(duì)產(chǎn)生一定隔閡,從此以后對(duì)信息安全管理不配合,或者表面支持、背地里敷衍、甚至使絆子,這些都會(huì)給信息安全工作帶來(lái)較大的阻礙。但是,從長(zhǎng)遠(yuǎn)看,考核權(quán)和處罰權(quán)仍然是我們推動(dòng)信息安全工作的主要抓手。
 
七、善用乙方團(tuán)隊(duì)
 
現(xiàn)實(shí)場(chǎng)景中,有些乙方人員戲稱(chēng)甲方叫“甲方爸爸”,這是一句玩笑話(huà),其實(shí)甲方合同才是他們真是的“甲方爸爸”,我們不過(guò)都是干活的。作為一個(gè)甲方安全人員,我們也應(yīng)該明白,在業(yè)務(wù)高速發(fā)展和信息化程度越來(lái)越高的大背景下,甲方的安全人員在數(shù)量上、專(zhuān)業(yè)技能上還是與甲方的安全建設(shè)需求有一定的差距。那么這時(shí)候,乙方團(tuán)隊(duì)就是甲方信息安全建設(shè)力量的重要補(bǔ)充。很多方案設(shè)計(jì)、風(fēng)險(xiǎn)分析、技術(shù)實(shí)施都需要乙方人員的深度參與,畢竟他們?cè)诩?xì)分領(lǐng)域以及專(zhuān)業(yè)場(chǎng)景上,比我們甲方人員要見(jiàn)得多、識(shí)得廣。作為甲方團(tuán)隊(duì)人員,我們要善于使用乙方團(tuán)隊(duì),團(tuán)結(jié)帶領(lǐng)乙方團(tuán)隊(duì)快速高效地搭建起甲方的信息安全治理體系。
 
對(duì)于甲方來(lái)說(shuō),信息安全建設(shè)工作既是一個(gè)技術(shù)問(wèn)題,但已經(jīng)超越了技術(shù)問(wèn)題,這里面牽涉了很多制衡、溝通、協(xié)調(diào)、妥協(xié)等方方面面的問(wèn)題。作為甲方信息安全人員來(lái)說(shuō),在了解信息安全專(zhuān)業(yè)知識(shí)的時(shí)候,還應(yīng)該多掌握一些戰(zhàn)略戰(zhàn)術(shù)層面的方法論,以讓企業(yè)的信息安全工作能夠更好的推廣實(shí)施下去。
 
(本文是作者在企業(yè)安全實(shí)踐中一些分析和思考,也是作者的一家之言,供大家參考。因個(gè)人能力、視野及技術(shù)水平限制,未免有些錯(cuò)誤、偏頗以及疏漏,敬請(qǐng)讀者諒解。)

關(guān)鍵字:安全信息安全

本文摘自:FreeBuf

x 淺談甲方企業(yè)信息安全建設(shè)的方法論 掃一掃
分享本文到朋友圈
當(dāng)前位置:安全行業(yè)動(dòng)態(tài) → 正文

淺談甲方企業(yè)信息安全建設(shè)的方法論

責(zé)任編輯:cres 作者:shengl99 |來(lái)源:企業(yè)網(wǎng)D1Net  2020-03-03 14:00:59 本文摘自:FreeBuf

從目前了解的情況來(lái)看,甲方安全團(tuán)隊(duì)規(guī)模在一個(gè)企業(yè)內(nèi)部的人員占比還是非常低的,在企業(yè)安全建設(shè)中,大部分安全措施的落地都是由系統(tǒng)、業(yè)務(wù)和開(kāi)發(fā)團(tuán)隊(duì)來(lái)實(shí)施。這時(shí)候,對(duì)于安全團(tuán)隊(duì)來(lái)說(shuō),就非常需要注意安全工作的方式方法了,以便將企業(yè)的信息安全建設(shè)逐步走向正軌。本文就是我對(duì)企業(yè)信息安全建設(shè)的方法論的一些思考。
 
一、緊隨高層利益攸關(guān)者
 
在企業(yè)粗放式發(fā)展初期,甚至是進(jìn)入大企業(yè)行列,信息安全也可能根本就不會(huì)進(jìn)入CTO的思考范圍,更別說(shuō)CEO級(jí)別的管理層了。當(dāng)然這兩年情況好多了,在網(wǎng)絡(luò)安全法頒發(fā)、中央網(wǎng)信委成立后,CEO級(jí)別的管理層公開(kāi)支持網(wǎng)絡(luò)安全工作必然是政治上正確的事,但這也不一定能成為你開(kāi)展信息安全工作堅(jiān)強(qiáng)后盾。筆者以為,信息安全工作最堅(jiān)強(qiáng)的后盾應(yīng)該是數(shù)據(jù)中心老大或CTO類(lèi)的人員,因?yàn)樾畔踩录畲蟮氖芎φ呖赡苁撬麄儯霈F(xiàn)重大信息安全事件最可能履責(zé)者也較大可能是他們。因此,從某種程度上說(shuō),我們和數(shù)據(jù)中心老大或CTO類(lèi)老大對(duì)安全的訴求是一致的,我們要緊緊跟隨在他們周?chē)m當(dāng)利用他們的權(quán)力和影響力把一些信息安全訴求傳遞出去。但是,我們也不能什么事都往CTO那里轉(zhuǎn),如果這樣,要你信息安全部干什么?有些事能控制風(fēng)險(xiǎn)就本級(jí)解決吧。這里就有個(gè)問(wèn)題,哪些事是需要上升到CTO級(jí)別人員解決的呢?需要各位CSO們自己考慮掌握了。
 
二、團(tuán)結(jié)同盟軍
 
雖然信息安全占據(jù)了一定的政策利好以及領(lǐng)導(dǎo)支持優(yōu)勢(shì),但是,人少要求多是不可忽視的基本事實(shí),因此,這就要求信息安全團(tuán)隊(duì)需在企業(yè)內(nèi)部找到同盟軍,以應(yīng)對(duì)更加突出的安全風(fēng)險(xiǎn)。一般來(lái)說(shuō),基礎(chǔ)設(shè)施部門(mén)是一個(gè)不錯(cuò)的同盟軍選擇,比如網(wǎng)絡(luò)團(tuán)隊(duì)、云管平臺(tái)團(tuán)隊(duì)、主機(jī)系統(tǒng)團(tuán)隊(duì)等。主要原因有:(一)基礎(chǔ)設(shè)施規(guī)模龐大,整改難度大,盲目把他們作為主要治理對(duì)象可能會(huì)很難出成績(jī);(二)信息安全基礎(chǔ)設(shè)施的很多建設(shè)需要依賴(lài)基礎(chǔ)設(shè)施部門(mén)支持,比如流量采集、監(jiān)控節(jié)點(diǎn)部署、主機(jī)申請(qǐng)、網(wǎng)絡(luò)策略開(kāi)通等。(三)基礎(chǔ)設(shè)施大部分都不會(huì)直接對(duì)外,風(fēng)險(xiǎn)等級(jí)不會(huì)太高,反觀應(yīng)用安全確是當(dāng)前風(fēng)險(xiǎn)等級(jí)最高、安全管理最急迫的領(lǐng)域。通過(guò)團(tuán)結(jié)同盟軍,一起把應(yīng)用開(kāi)發(fā)安全管理好,在此之中,再逐步對(duì)基礎(chǔ)設(shè)施部門(mén)提一些容易整改的安全需求,畢竟也是一個(gè)戰(zhàn)壕里的戰(zhàn)友,基礎(chǔ)設(shè)施部門(mén)估計(jì)也不好意思拒絕。當(dāng)然,各個(gè)單位遇到的突出矛盾和情況也存在很大差別,尋找什么樣的同盟軍需要自己斟酌考慮。
 
三、抓主要矛盾
 
雖然企業(yè)安全團(tuán)隊(duì)可能懷抱偉大理想,團(tuán)隊(duì)初建可能意氣風(fēng)發(fā),躊躇滿(mǎn)志,想盡快把企業(yè)安全防護(hù)水平整體提高一個(gè)臺(tái)階,但是,對(duì)于系統(tǒng)、開(kāi)發(fā)以及業(yè)務(wù)團(tuán)隊(duì)來(lái)說(shuō),企業(yè)安全建設(shè)與管理都是給人家添加工作量的事情,可能因?yàn)橐粋€(gè)安全要求導(dǎo)致他們整個(gè)系統(tǒng)要返工重做,從思想上、意識(shí)上有一定的反抗情緒也是人之常情。因此,對(duì)于企業(yè)安全建設(shè)來(lái)說(shuō),最重要的工作是做調(diào)查研究,了解企業(yè)IT建設(shè)與安全管理現(xiàn)狀,識(shí)別影響組織和企業(yè)最大的風(fēng)險(xiǎn),然后再根據(jù)風(fēng)險(xiǎn)找出安全管理的牛鼻子方法,抓住安全風(fēng)險(xiǎn)的主要矛盾,這也是ROI平衡的一個(gè)具體方面,切不可能眉目胡子一把抓,事事都管,沒(méi)有重點(diǎn),把本就弱小的安全團(tuán)隊(duì)像撒芝麻一樣撒到各個(gè)項(xiàng)目或事務(wù)中,不能團(tuán)結(jié)一致干一件事,最后估計(jì)也難成一事。
 
四、以可證明的風(fēng)險(xiǎn)說(shuō)話(huà)
 
Linux 的創(chuàng)始人 Linus Torvalds 在 2000-08-25 給linux-kernel 郵件列表的一封郵件提到的:Talk is cheap,Show me the code。在安全管理上依然適用,當(dāng)我們像唐僧念經(jīng)一樣翻來(lái)覆去的提示風(fēng)險(xiǎn),揭示風(fēng)險(xiǎn),卻沒(méi)有任何”漏洞利用證明“,也不能拿出有效規(guī)避風(fēng)險(xiǎn)辦法,對(duì)于企業(yè)里的其他人員來(lái)說(shuō),這些語(yǔ)言來(lái)說(shuō)都是蒼白無(wú)力,而且還會(huì)對(duì)信息安全部門(mén)產(chǎn)生無(wú)用論、能力不足論等思想。風(fēng)險(xiǎn)本來(lái)就是抽象的,把抽象的概念傳達(dá)給企業(yè)內(nèi)員工,我們只能用結(jié)果來(lái)說(shuō)話(huà),比如拿下系統(tǒng)控制權(quán)、下載了關(guān)鍵數(shù)據(jù)等。因此,我們要充分發(fā)揮自己的專(zhuān)業(yè)能力,利用滲透測(cè)試、眾測(cè)、攻防演練去最大限度的發(fā)現(xiàn)及證明各類(lèi)風(fēng)險(xiǎn)危害,用鮮活的事例來(lái)教育員工。
 
五、切不可本本主義
 
安全工作最大的兩個(gè)動(dòng)力:事件驅(qū)動(dòng)和監(jiān)管要求。內(nèi)部安全事件不能經(jīng)常發(fā)生吧,外部事件又總是有點(diǎn)隔靴搔癢之感,能說(shuō)一說(shuō),但是很難轉(zhuǎn)化為行動(dòng)的動(dòng)力。很多時(shí)候能說(shuō)事就只有監(jiān)管要求,但是我們也要注意不能拿著監(jiān)管要求、安全體系等盲目要求按章辦事、逐條落實(shí),不考慮企業(yè)現(xiàn)狀,這就會(huì)犯了本本主義和教條主義錯(cuò)誤。比如,監(jiān)管要求中要求:生產(chǎn)和測(cè)試網(wǎng)絡(luò)要嚴(yán)格隔離。這一條用意當(dāng)然是好的,但是要在企業(yè)內(nèi)部有效實(shí)施肯定會(huì)面臨較大的阻礙,例如,有些系統(tǒng)想運(yùn)轉(zhuǎn)起來(lái)就是要求能夠?qū)崿F(xiàn)測(cè)試和生產(chǎn)聯(lián)通;有些系統(tǒng)在測(cè)試環(huán)境搭建測(cè)試系統(tǒng)成本很大等等,這時(shí)候都可會(huì)導(dǎo)致生產(chǎn)和測(cè)試不能完全隔離。此時(shí),就需要安全部門(mén)具有問(wèn)題具體分析,靈活對(duì)待,在不違反重大原則、導(dǎo)致重大風(fēng)險(xiǎn)的情況下可以適當(dāng)?shù)摹⒂邢薅鹊拈_(kāi)綠燈。
 
六、慎用尚方寶劍
 
在企業(yè)的內(nèi)部規(guī)章制度中,信息安全一般都會(huì)有一定的考核權(quán)和處罰權(quán),也可能有些大領(lǐng)導(dǎo)的直接授權(quán)等,以此作為企業(yè)安全管理的尚方寶劍。但是,筆者想說(shuō)的是,對(duì)于弱小且處于擴(kuò)張中的團(tuán)隊(duì)來(lái)說(shuō),一定要慎用尚方寶劍,使用不當(dāng)會(huì)導(dǎo)致我們提前樹(shù)敵。雖然,我們本意和目的不是懲戒,主要目是提高安全意識(shí)。但是,我們應(yīng)當(dāng)明白,我們的處罰對(duì)于別人來(lái)說(shuō)都會(huì)造成經(jīng)濟(jì)上、聲譽(yù)上的損失,從而會(huì)對(duì)信息安全團(tuán)隊(duì)本身產(chǎn)生一定的逆反心理。同樣,對(duì)于其他人員來(lái)說(shuō),這也會(huì)導(dǎo)致他們對(duì)信息安全團(tuán)隊(duì)產(chǎn)生一定隔閡,從此以后對(duì)信息安全管理不配合,或者表面支持、背地里敷衍、甚至使絆子,這些都會(huì)給信息安全工作帶來(lái)較大的阻礙。但是,從長(zhǎng)遠(yuǎn)看,考核權(quán)和處罰權(quán)仍然是我們推動(dòng)信息安全工作的主要抓手。
 
七、善用乙方團(tuán)隊(duì)
 
現(xiàn)實(shí)場(chǎng)景中,有些乙方人員戲稱(chēng)甲方叫“甲方爸爸”,這是一句玩笑話(huà),其實(shí)甲方合同才是他們真是的“甲方爸爸”,我們不過(guò)都是干活的。作為一個(gè)甲方安全人員,我們也應(yīng)該明白,在業(yè)務(wù)高速發(fā)展和信息化程度越來(lái)越高的大背景下,甲方的安全人員在數(shù)量上、專(zhuān)業(yè)技能上還是與甲方的安全建設(shè)需求有一定的差距。那么這時(shí)候,乙方團(tuán)隊(duì)就是甲方信息安全建設(shè)力量的重要補(bǔ)充。很多方案設(shè)計(jì)、風(fēng)險(xiǎn)分析、技術(shù)實(shí)施都需要乙方人員的深度參與,畢竟他們?cè)诩?xì)分領(lǐng)域以及專(zhuān)業(yè)場(chǎng)景上,比我們甲方人員要見(jiàn)得多、識(shí)得廣。作為甲方團(tuán)隊(duì)人員,我們要善于使用乙方團(tuán)隊(duì),團(tuán)結(jié)帶領(lǐng)乙方團(tuán)隊(duì)快速高效地搭建起甲方的信息安全治理體系。
 
對(duì)于甲方來(lái)說(shuō),信息安全建設(shè)工作既是一個(gè)技術(shù)問(wèn)題,但已經(jīng)超越了技術(shù)問(wèn)題,這里面牽涉了很多制衡、溝通、協(xié)調(diào)、妥協(xié)等方方面面的問(wèn)題。作為甲方信息安全人員來(lái)說(shuō),在了解信息安全專(zhuān)業(yè)知識(shí)的時(shí)候,還應(yīng)該多掌握一些戰(zhàn)略戰(zhàn)術(shù)層面的方法論,以讓企業(yè)的信息安全工作能夠更好的推廣實(shí)施下去。
 
(本文是作者在企業(yè)安全實(shí)踐中一些分析和思考,也是作者的一家之言,供大家參考。因個(gè)人能力、視野及技術(shù)水平限制,未免有些錯(cuò)誤、偏頗以及疏漏,敬請(qǐng)讀者諒解。)

關(guān)鍵字:安全信息安全

本文摘自:FreeBuf

電子周刊
回到頂部

關(guān)于我們聯(lián)系我們版權(quán)聲明隱私條款廣告服務(wù)友情鏈接投稿中心招賢納士

企業(yè)網(wǎng)版權(quán)所有 ©2010-2024 京ICP備09108050號(hào)-6 京公網(wǎng)安備 11010502049343號(hào)

^
  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 毕节市| 通江县| 陵川县| 泾阳县| 张家港市| 广安市| 民勤县| 黄浦区| 潞西市| 新竹县| 曲靖市| 莒南县| 黄浦区| 元氏县| 和政县| 大关县| 高淳县| 长汀县| 纳雍县| 时尚| 克什克腾旗| 固阳县| 福鼎市| 陆河县| 定西市| 昌图县| 友谊县| 集贤县| 乌拉特前旗| 辽中县| 凤台县| 靖宇县| 肥东县| 涞源县| 揭西县| 介休市| 黎川县| 洞口县| 广安市| 都兰县| 吉木乃县|