構建安全運營治理體系的核心要素探索與實踐
近些年,安全運營體系的搭建與安全運營能力建設,受到越來越多行業的重視。安全運營治理,將安全服務(自有、外包)、安全管理(流程、制度)、安全技術(平臺、工具)等形成一個有機融合的安全運營框架體系,整體提升企業的信息安全日常管理水平、風險識別能力、安全防御能力,以滿足合規監管和實際安全需求的目標。
但從安全運營治理實際效果上來看,大多數安全運營工作未能取得預期效果。例如很多企業采購了大量高技術安全設備,組織一定規模的安全團隊,也形成了基本安全流程制度框架,但仍無法有效覆蓋必要的安全保護對象,存在基礎安全問題無法根除、監管單位通報時有發生、面臨重保和攻防演練手足無措、安全服務團隊疲于應付、對高級別安全威脅缺乏防御底氣等問題。
持續投入建設的人員、設備、流程、資金等,與預期效果之間的差距,都給企業尤其是信息安全相關部門帶來較大壓力。如何進行安全運營治理體系的規劃與建設,并發揮實際的安全效果,成為企業亟待解決的問題。
現狀問題與建設思路
分析現有安全運營治理現狀不難發現,在搭建過程中,前期缺乏對企業現狀的調研分析,在運營目標和指標設定方面缺少科學依據;中期在技術、服務等整合過程中缺乏有效輸入,無法保障流程機制的實現運轉;后期在安全效率與安全效能發揮方面缺少量化分析,致使安全運營體系優化工作存在障礙。
充分認識、梳理工作重點與難點,以咨詢視角合理設計解決思路,是安全運營體系發揮安全效能的重要保障。
安全運營治理工作的關注點
能力整合與實際效果
安全運營工作,需要將人員組織、流程方法、平臺工具等要素高效運轉起來,做到安全問題的提前發現與處置,并基于現有的狀況合理預測未來的形勢,保證安全能力不變的前提下,有效降低安全成本。遇到緊急安全事件,能夠按照SLA予以高效處理,同時針對不同時間緯度能夠對所有安全運營事務予以總結。
人是最重要的要素
安全服務有企業安全成員和外包員工,安全漏洞的修復同時涉及安全、運行、運維部門,在安全監督合規方面,審計、合規、風險、檢查等角色也參與其中。
部門工作邊界模糊、人員操作不規范、安全工作職責不清等問題,都會讓發生安全風險的概率增加。團隊之間協調、配合、統一管理難度非常大,如果出現緊急安全事件,缺乏適用的安全運營治理體系,會導致內部混亂低效,互相扯皮推諉,直接影響安全治理工作。
重要任務事項的流程化
安全運營涉及的范圍很廣,基本涵蓋了安全的所有領域,工作任務執行情況直接影響著整體安全運營的結果。安全運營治理體系框架內的重要事項、工作任務都需要被有效的管理,就需要一個抓手,即通過安全運營的工作流程予以保障。
基于整體目標的指標體系
在安全運營治理體系內,單個工作任務完成的好壞,均需要有量化指標,所有安全工作完成好壞,均需要有指標模型基線。實時監控量化指標,依據差距分析動態調整工作任務所需要的資源,確保工作任務順利達成目標。
安全投入與產出可量化
信息安全工作的投入成本高,在確保成本可控的前提下,將安全防護的效能最大化是企業的難題。安全運營治理體系的持續投入,要基于各類量化、非量化的結果,與此前進行橫向對比,以此作為資源投入與安全產出的衡量依據。
安全運營治理體系實踐過程
Safe operation governance
咨詢視角強調以ISO27001和應急響應IPDRR(風險識別、安全防御、安全檢測、安全響應、安全恢復)的工作方法論為基礎, 采用流程化思維進行建設安全運營治理體系的規劃與搭建。
制定安全運營框架體系的架構設計(理現狀,定框架)
本階段主要以現狀調研與整體治理框架設計為目標。針對人員組織,流程方法,平臺工具進行現場安全現狀調研,根據安全運營能力成熟度模型,進行評估和差距分析,輸出安全運營風險分析和需求分析報告,制定安全運營框架體系的架構設計。
制定安全運營指標(提煉需求、設定指標)
根據業務場景調研和安全現狀調研,提煉安全運營指標需求,從人員組織成熟度、流程方法成熟度、工具平臺成熟度、安全事件響應處置、呈現能力成熟度、數據安全成熟度、應用系統安全成熟度、開發安全成熟度、安全權限成熟度、安全合規成熟度、基礎網絡安全成熟度、安全運維的能力成熟度等維度,依據現狀和整體框架篩選度量維度,規劃設計安全運營效能評估或者安全能力成熟度的評估指標。
制定安全運營流程(篩選流程、指標落地)
運營流程是安全運營治理形成合力的重要保障。依據業務場景與目標及安全運營指標,將業務流程和安全需求相結合,設置并結合人員角色和責任矩陣,定制設計安全運營流程,保障指標順利執行落地。同時需要注意的是,運營流程的線上化實現非常重要,依托工具平臺將流程自動化、可視化運轉,確保安全效能的充分發揮,也是各部門和角色人員發揮自身能力和責任邊界劃分的重要保障。
定制基于客戶業務場景的安全運營治理模型(模型設計、結果量化)
根據安全調研評估分析,結合安全運營指標與安全運營流程,可以從安全運營的3個階段:事前,事中,事后的橫向維度,或者以信息安全治理安全合規、數據安全、應用安全、開發安全、安全權限、安全運維、基礎網絡安全的7個縱向維度定制企業的安全運營治理模型。
安全運營治理模型的設計,能夠確保企業對整個安全工作予以運營掌控。例如Capex(初始投入成本)、 Opex(持續投入成本)、安全防御能力指數,安全風險指數等安全運營投資收益比的量化,也能有效衡量各項安全需求和對應支撐的安全服務組織流程工具的成本、功效、風險安全運營性價比等。
總結
Safe operation governance
安全運營治理體系的規劃與建設作為一項系統化工程,是安全治理工作的重要支撐,也是確保企業安全質量保持較高水平的核心基礎。區別于以往的安全運營建設思路,以安全咨詢規劃視角,建設有要素輸入,過程有指標監督,結果有數據度量,是確保安全運營治理體系取得預期效果的保障。
