01
国家安全
根据“国家安全委员会”的相关公告和百度查询,定义为:集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系。
注意,这里用词是“信息安全”,我其实有点疑惑,按照现在的用词风格,用“网络空间安全”似乎更加合适,为什么呢?我为之找到的理由是(1)网络空间安全其实是其他层面的安全在网络空间的投射,可以被其他层面的安全概括;(2)信息安全可能更加强调对各类信息资产、关键信息基础设施、个人信息中的“信息”保护。
02
网络空间安全CyberSecurity
按照《国家网络空间安全战略》的描述,“网络空间安全”指“国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益”(不过文中并没有这么定义,是我自己总结的)。
在网络空间里面,维护国家主权和国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和违法犯罪等工作都归于网络空间安全工作的范畴,国家层面由中央网络安全和信息化领导小组、中国国家互联网信息办公室具体负责。
网络空间安全有时候也会被称为“网络安全”,因此在内涵、解释上往往容易造成误会。狭义的网络安全通常指保护关键信息基础设施、及其他有重大社会影响的信息系统,防止被攻击、入侵、破坏、利用和窃取数据,更大比例上用技术手段来实现。
03
企业信息安全InformationSecurity
指企业(包括政府、各类企事业单位、社会团体)为了自身利益和所承担的社会责任,保护所管辖范围下信息的机密性、完整性、可用性(有时候还包括抗抵赖性、可追溯性)。企业信息安全的内涵分为信息资产安全、业务安全。
信息资产安全指企业内部流转的信息资产(如各类电子文档、纸件、邮件、代码、有智力成果的固件、各种数据库里的数据、系统日志、办公研发区域、核心人员等)的机密性、完整性、可用性。
业务安全指企业内部核心业务的业务目标不被内外部威胁所破坏。这里的业务目标不止包括机密性、完整性和可用性,还包括收入、利润、真实用户量和访问量等各类业务指标。在不同行业和企业,业务安全的内涵有差别。
04
数据安全DataSecurity
指各类电子数据的机密性、完整性、可用性。电子数据的典型形式包括但不限于各类电子文档、邮件、代码、有智力成果的固件、各种数据库里的数据、系统日志。我认为数据安全属于企业信息安全的一个子集,之所以会有这个子集,是因为电子数据的安全主要会通过技术手段来实现,由此就会派生出不同种类的安全工具和解决方案。
05
CSO
这里定义的CSO,应该是企业内部信息安全团队的实际负责人,是信息安全业务的一线、实际负责人。至于是行政正职还是副职、副总裁还是一级部门负责人还是二级部门负责人并不重要。
2CSO怎么做(2)理解企业信息安全工作的几种驱动方式
什么叫信息安全工作的驱动方式?就是回答一个企业为什么要做信息安全。正确理解一个企业为什么做信息安全,可以(1)知道这个企业的信息安全目标、重点是什么,“知道为什么而战”比“怎么战”更重要;(2)找到一个最合理、最有效的方式来推动信息安全工作,同时也能够更好地达到信息安全工作目标、展现价值;(3)对CSO、信息安全从业人员的职业发展也是很重要的参考,知道这家企业是否适合自己、自己是否可以找到价值最大化的平台。
根据个人经验,我将企业信息安全工作驱动的方式归纳为4类:
01
事件驱动型
顾名思义,就是以被动响应为主的工作方式,通常指由于内部信息安全事件(诸如数据丢失或损坏、文档失窃、商业秘密被窃取、知识产权被侵犯、竞争对手的恶意破坏)、外部信息安全事件(诸如WiFi万能钥匙、勒索病毒爆发、斯诺登事件被披露),从而开展一系列安全建设动作。
02
合规驱动型
这个也很好理解,就是以满足外部规范、要求为主的工作方式,通常是根据外部规范、要求建立自身的信息安全管理体系,以达到规范要求为主要目的。
03
消费驱动型
没错,你没看错!就是以花预算为主的工作方式。通常是根据内外部规范、最佳实践和供应商推荐,制订年度规划和预算,开展信息安全建设。其主要目的是把今年的预算花完,明年才能够有足够的预算花,剩下的只要不出事就万事大吉。
04
业务驱动型
我原先把这种工作方式命名为“规划驱动型”,但是仔细研究后发现,“合规驱动型”和“消费驱动型”也可能形成明确的规划、并按照规划推进落实。斟酌之后,我调整为“业务驱动型”。常见的状态通常是这样的:(1)老板或业务部门重视;(2)通常以业务部门发起、提出安全改进需求,或以信息安全部门发起、调研业务部门并形成安全改进需求,且业务部门的安全改进需求是信息安全部门工作的主要内容,其改进效果也应该是信息安全部门绩效的主要输入源;(3)由于自身能力的问题,也可能会基于业务需求开展一些局部的、不系统的安全建设,甚至可能效果不好;(4)业务驱动型做得好,往往也会有合规驱动的工作形式和内容。
业务驱动下的信息安全目标,大致归纳为几种(1)保护商业秘密和自主知识产权不被窃取和破坏;(2)保护用户个人信息、数据和身份安全;(3)保护系统和应用的安全;(4)保护营销推广、交易、支付、营收等业务目标的达成,保护企业和个人的钱款,不被破坏、窃取、恶意利用。其中(4)被很多金融企业、互联网企业称为“业务安全”、“风控”,而我对“业务安全”的理解会更广,这个话题另文描述。
以下根据个人经验所知,不免有些偏颇,仅略做总结:
金融行业首先以合规驱动型为主,近些年随着金融监管的加强、攻击窃取事件的发生、对数据安全和个人信息保护的重视,正逐步迈向业务驱动型,优秀的金融单位已经显然是业务驱动型。其中,银行业成熟度最高,证券业其次,保险业最后。
互联网金融近年来蓬勃发展,但由于面临监管合规和持续盈利的压力,总体局面上处于合规驱动型+业务驱动型结合,不同企业根据投入、自身能力各有偏重。
国内的电商、社交、游戏行业,由于业务开展充分依托互联网,无论是要对抗入侵和攻击,还是要防范内部操作风险都是生死存亡的关口,因此以业务驱动型为主。
科技行业(包括了传统的生产制造企业,新经济形态下的生产制造+研发企业,非互联网的纯研发类企业)中分化显著。营收和利润已经达到一定规模、具备一定市场影响力的科技企业,如果在保护自主知识产权、商业秘密方面有原发的动力,会很快地进入业务驱动型。而如果缺乏足够的科研实力,也就缺少保护知识产权和商业秘密的动力,往往会以事件驱动型或合规驱动型为主,并且合规驱动的动力大多来自于大客户。
对于政府、事业单位、关键基础设施(水、电、气等)管理运营单位,即使在强力推进《网络安全法》和等保测评标准的今天,我也认为是消费驱动型为主,合规驱动+事件驱动为辅。说的不客气点,其实主要目标就是花钱、堆项目,顺带解决部分信息安全问题。个人经历所限,我所见的这些单位都在华南,本观点不针对全国。
运营商的信息安全,总体上我认为属于合规驱动型。
地产、商业集团,我也见过3-4个,比较难以理解他们的信息安全工作驱动力是啥,就不瞎说了。
你所在的企业,信息安全处于那种驱动方式?来聊一聊?
3CSO怎么做(3)CSO的4个核心工作
当一个公司开始设置CSO这个岗位的时候,意味着公司高层希望在某种程度上把信息安全工作抓起来、需要有人对此统筹、负责。绝大多数情况下,这家公司的信息安全已经有了一定的基础、采取了一些信息安全控制措施。那么,CSO应该如何开展工作?
Rapido写的《如何做好首席信息安全官–企业安全体系与架构实现》这篇文章,列举了CSO的12大能力要素,内容全面、见解入木三分,看的很有感觉,但是我认为绝大多数CSO都到不了这个平台,也没必要具备这么多能力要素。根据我的经验进行了一些裁剪,我认为CSO应该要做好4个核心工作(或者说是具备这4方面能力):1、定目标;2、带团队;3、沟通;4、获取资源。
01
定目标
(1)什么叫“目标”
目标是对效果、改进、提升的定义,可以是量化或者非量化的定义。目标一定要描述解决了什么问题、实现了怎样的改进和提升,而不是对任务、动作的描述,目标还应该包含时间约束。当然,目标分为当期目标、中长期目标。
举例如下:正确的描述方式应该是“Q1结束后,核心研发区域人员出入全部受到检查和管控,没有遗漏”、“到今年底,除访客区外,接入公司网络的各类终端全部符合安全策略”、“本周末实现办公网终端全部实现文件防丢失”,而不是“核心研发区域配备了24小时保安、金属检测仪”、“除访客区外,接入公司网络的各类终端全部安装了接入控制软件”、“办公网终端全部安装并启用了文件加密策略”。
不要小看这一条,是否能真正认识并做到这一点,安全团队的绩效会有质的差异。
(2)梳理现状
定义目标之前,还要梳理现状、对当前的状态有充分的了解。参见风险评估的方法论,很多咨询公司、审计公司都可以帮忙做。但我的建议是,CSO和团队骨干要充分全面地参与到这个过程中、发挥主要作用,如果只是听汇报、看材料,肯定不如一手材料来的真实、客观和深入。
梳理现状的过程中,很重要的一点就是要识别出这家公司的信息安全驱动方式:是业务驱动型,还是事件驱动型,还是消费驱动型。这对于定义目标和后续执行是有很大帮助的。
(3)确定价值、定位、目标、规划路径
确定目标的过程中有4个要素:价值、定位、目标、规划路径。
明确团队价值:就是用1-2句话讲清楚信息安全团队在公司里面的主要贡献、功能是什么,描述方式要让老板听得懂。比如“保护公司的商业秘密不泄露”、“保障公司办公网络不被入侵和破坏”、“保障公司业务平安开展、不被破坏、窃取,且合法合规”。
明确定位:定位就是讲清楚安全团队做什么、不做什么,现在做什么、将来做什么,把边界、尤其是“不做什么”的边界划清楚。如我在第一篇所述,企业信息安全的工作范畴随着“业务安全”概念的引入,有时候会变成一个大安全团队,所以要讲清楚:物理安全管不管?业务合规管不管?是只管办公网络,还是也要负责生产网络?和IT之间是什么关系?要不要负责对抗薅羊毛?和审计部门是什么关系?产品安全要不要负责?有没有处罚权?
明确目标:其实就是“确定要解决什么风险以及优先顺序”。当然,目标需要定期刷新,具体做法在后面的篇章中有介绍。
明确规划路径:目标不可能一步到位,可能分为几个阶段或几年。那就把每个阶段、每年要达到的目标列出来。定目标和规划路径的过程一定要和业务单位高管、公司领导充分沟通,这是统一目标、统一认知的过程,同时也是一个对业务单位高管、公司领导开展安全教育的大好机会。
(4)关于信息安全与IT、流程、运营、质量的关系
在思考和实际执行过程中,信息安全团队不可避免地与公司的IT、流程、质量、运营团队发生关系。华为轮值CEO徐直军在(白癜风丸价格北京哪个医院可彻底治愈白癜风