規劃是指較全面或長遠的計劃。凡事預則立,不預則廢!
在企業戰略規劃方面,随着市場環境變化速度的不斷加快,人們越來越意識到企業戰略規劃對企業生存和發展的重要性,戰略規劃能幫助企業解決影響組織未來發展最重要、最基本的問題,同時也能幫助企業确定組織使命和目标,保障企業發展方向是正确的,確定企業能夠發揮出“力出一孔”的威力。何為“力出一孔”,比如火箭燃燒後的高速氣體,通過一個叫拉法爾噴管的小孔,擴散出來氣流,産生巨大的推力,可以把人類推向宇宙;水一旦在高壓下從一個小孔中噴出來,就可以用于切割鋼闆,這就是“力出一孔”的威力。
網絡安全規劃,一定是自上而下的,是在充分繼承企業戰略規劃、IT戰略規劃的基礎上,建立的全面、明确、有前瞻性的安全計劃。網絡安全規劃可為企業提前制定符合業務發展戰略的網絡安全建設路徑,使得網絡安全建設能夠有政策、有計劃地推進業務發展,明确投資假設的預期效果,最終提升戰略執行力,保障投資價值。
安全工作最大的痛點可能是到處充當“救火隊員”,工作處于“事件驅動”的狀态,發生安全事件後開始“零星的”、“針對性的”做一些補充完善工作。又或者是盲目的啟動項目建設,最終買了很多的“盒子”,堆積了很多安全産品,但實際安全效果不盡人意。這些現狀可能是因為缺乏以風險為導向的主動式安全體系、缺乏全局性的安全觀,缺乏對業務的支撐,導緻安全價值無法展現。網絡安全規劃也許可以适當扭轉這些不利局面。
以下将從規劃啟動、現狀與差異分析、明确訴求與需求、建立規劃藍圖、輸出實施路線、彙報與宣貫、回顧改進與更新七個階段介紹網絡安全規劃的具體過程。
一、 規劃啟動
企業在剛成立網絡安全團隊時應啟動網絡安全規劃,明确方向和目标。
每年的11月份-1月份(農曆春節前)應在完成年度工作回顧的基礎上,開展來年的安全規劃,明确下一年的方向和目标,并更新安全團隊的中長期規劃。
結合外部網絡安全形勢與背景可以擇機啟動安全規劃工作,如“十四五”國家資訊化規劃釋出後,可開展網絡安全中長期整體規劃;“資料安全法”、“個保法”相繼釋出後,可開展資料安全與隐私保護領域的中長期規劃;史詩級漏洞Log4j的爆發,可開展開源安全領域規劃。
二、 現狀與差異分析
安全規劃不是安全負責人幾天不睡覺拍出來的,也絕非僅僅是為了設定幾個中長期目标。安全規劃啟動後應該首先開展現狀與差異分析,識别目前安全的痛點和差距,一份全面的安全規劃應從以下三個方面開展。
(一)内部分析
回頭看一看企業網絡安全建設的曆程,評估目前的現狀、分析存在的不足。具備一定規模的網絡安全團隊,可以按團隊組織架構的次元開展,規模稍小的網絡安全團隊,可以按工作領域的次元開展,目的是要確定現狀與差異分析的全面性,確定覆寫安全團隊目前涉及的所有工作。現狀與差異分析的結果不是拿來向上司彙報的,是以不用擔心分析結果的“慘不忍睹”導緻上司認為安全工作做得不好,可以在安全團隊内部關起門來“自我批評、自我否定”。
(二)行業分析
内部分析過程中的“自我感覺良好”最可怕,一方面可能是因為主觀原因,思想上沒有認清現狀與差異分析的價值,團隊内部未能深入讨論。另一方面可能是因為客觀原因,受限于我們目前的認知,感覺這方面的工作應該就是這樣,隻能這樣。想不到原來别人還可以那樣,不知道業界已經有更好的解決方案和技術。是以安全團隊應該要能把握行業現狀,了解行業的發展情況,同時了解國際國内的安全标準架構,了解行業最佳實踐架構,日常多向安全廠商、同業、網際網路大廠學習,多參與一些業界的會議沙龍。目的是了解優秀的人正在做哪些優秀的事,打開思路、開闊眼界,以便切實發現自身不足,明确下一步應該走向哪裡。
(三)業務分析
站在業務部門的角度,結合公司整體戰略的發展,安全團隊可以嘗試着分析業務部門在安全方面存在的不足,也是安全在業務支撐方面存在的不足,為下面章節的“明确業務部門需求”做些準備。
三、 明确訴求與需求
訴求是安全團隊根據現狀與差異分析結果,自己提出來的安全期望和目标。比如安全團隊的訴求可能是,如何打破目前被動、孤立、片面的安全局面;如何讓安全工作能夠以業務為驅動、以風險為導向;如何建立自上而下、強健有力的網絡安全組織架構;如何更好的對标業界最佳實踐;如何更好的解決遠端辦公的安全風險;如何進一步降低應用安全漏洞等等。
需求是安全團隊之外的組織和人員提出來的。安全的價值是為了支撐企業經營目标的達成。明确“他人”對安全的需求是安全規劃中很重要的一部分,安全團隊需要了解企業高層、業務部門、CTO、運維部門、開發部門、法律合規部等所有關聯部門和關聯幹系人對安全的需求是什麼。企業高層提出的安全需求是為了確定企業戰略目标的達成,業務部門上司提出的安全需求是為了確定具體業務目标的達成,技術部門提出的安全需求是技術與安全的融合與促進。是以,挖掘需求、篩選合理需求,這些安全需求實作了,安全的價值自然也就展現了。
大道至簡,知易行難!企業高層、業務部門上司有可能壓根就沒考慮過安全方面的問題,對安全提不出什麼需求。那就更應該借着規劃項目的機會,讓中高層上司想一想他們眼中的安全應該是什麼樣子,避免安全做了幾年後不被認可。可以嘗試通過訪談的方式開展需求調研,訪談前應根據不同的訪談對象制定訪談大綱,明确要訪談的目标以及訪談問題,訪談問題可提前發給被訪談人以便提前思考、充分準備。通過問題引導的方式期望能夠挖掘出對安全的真正合理需求。
訪談綱要示例
四、 建立規劃藍圖
完成上述“現狀與差異分析”、“明确訴求與需求”兩項工作後,安全團隊的痛點、存在的不足、與他人的差距、企業上司期望、相關人員的需求都已經基本清晰了,未來1-3年的目标也已經基本明确。接下來應該從整體上做一些梳理,輸出安全規劃藍圖,包含企業安全體系模型、企業安全體系架構兩部分。
(一)企業安全體系模型
1、安全戰略層面
基于企業戰略解讀的基礎上,明确安全願景、戰略目标、方針。
安全願景是要描繪安全要去哪裡,到達目的地後企業安全是什麼樣子。安全願景對外可以展現安全團隊的專業性,對内是一種具有引導與激勵團隊成員的未來情景的意象描繪,可以影響團隊及其成員的行動和行為。
戰略目标,可以更清晰的明确安全價值。企業設立每個團隊都有其存在價值,每個團隊的目标都應是支撐企業的經營發展,支撐業務目标的達成。安全團隊絕非例外,安全團隊在建立目标時,不能在自己的小格局裡“自嗨”,結合上述的訴求與需求,務必要把安全目标與企業業務目标相貼合,時刻以支撐企業業務目标達成為己任。比如企業安全團隊的目标可能是“承接和滿足業務需要,與業務流程有效融合,支撐業務創新,保障企業經營目标的達成”。産品安全團隊的目标可能是“規劃實施産品的安全特性,不斷提升産品的網絡安全與隐私保護能力,確定客戶對産品安全能力的信任,進而保障并提升産品的市場占有率”。
2、安全組織層面
結合安全戰略,參考網絡安全領域相關的法律要求,建立由董事會、CEO統一上司的,包含關鍵部門的,覆寫決策層、管理層、執行層的網絡安全組織體系。組織體系建立後應該通過一系列的措施確定組織體系的有效運轉,避免僅僅是釋出了紅頭檔案,組織體系中的相關人員實際未能履行職責。
3、安全領域建設
結合現狀評估結果,明确接下來安全需要在哪些領域開展建設。重要領域應該制定必要的實施思路,比如基于人員職業生命周期的人員安全管理、基于研發生命周期的應用安全管理、基于資料生命周期的資料安全管理等等。
4、安全技術支撐
安全各領域的建設離不開安全技術的支撐。同時,安全技術日新月異,新型威脅層出不窮,安全團隊需要持續的開展新技術研究。
5、安全團隊
網絡安全建設的核心要素是網絡安全人才!網絡安全的競争,歸根結底是人才競争!網絡安全的對抗,最終是人與人之間的對抗!安全規劃以及安全工作能夠有效開展的基礎條件,就是具備一支“進的來、出的去、專業、自信、特别能戰鬥”的網絡安全團隊。
團隊建設包含上述的願景、目标,也包含團隊行為準則、團隊氛圍、基于團隊人員的“選、用、育、留”。
團隊行為包括:堅持為業務創造價值、堅持勇于擔責、堅持風險“零容忍”、堅持工作閉環、堅持度量優化。
(二)企業安全體系架構
基于上述企業安全體系模型,參考安全領域的權威标準,以及業界優秀案例,企業網絡安全規劃時應制定企業安全體系架構圖,如下圖示例所示。每個企業的業務模式不同,安全所處的階段不同,所面臨的安全風險不同,安全關注點自然也不一樣。是以,在做規劃時務必要結合企業實際現狀,所謂的權威标準、優秀案例也不能照搬,僅作為參考。
五、 輸出實施路線
(一)實施舉措
基于企業安全體系架構,結合企業安全目前風險、存在的不足等現狀,可以确定企業未來安全體系建設應該要實施的舉措。
(二)重要舉措建設思路
針對重要舉措需要制定建設思路或實施架構,上述這些安全領域基本上都有比較成熟的實踐思路可供參考。重要舉措建設思路或架構舉例如下:
(三)實施路線
對于識别出來的各項實施舉措,綜合考慮風險優先級、實施後的預期效果、實施難度等,确定舉措落地的優先級,輸出實施路線,明确大緻計劃,樣例如下圖:
六、 彙報與宣貫
企業網絡安全規劃完成後,應做好向上彙報以及相關人員的宣貫。向上彙報的目的是讓上司知悉、了解目前的安全風險與挑戰,在安全目标與實施路線方面與上司達成一緻意見。最重要的還有要擷取上司的承諾,包括人力資源、預算等承諾。向相關人員宣貫,包括要在安全團隊内部做好宣貫,確定所有成員統一思想、統一目标。同時也應向開發、業務等相關部門做好宣貫,讓大家了解安全的目标與大緻計劃。
七、 回顧、改進與更新
每年11月份前安全團隊應對本年度網絡安全規劃建設情況開展一次系統評估與回顧。對照規劃中安全舉措實施路線圖,總結年度網絡安全建設情況,如下圖所示,對比原計劃與已實施情況,識别規劃中實施路線存在的偏差,梳理安全建設過程中存在的問題,針對問題制定下一步改進建議。
同時,結合本年度内外部的網絡安全形勢,新型威脅,新增的安全訴求與需求,也需對現有的安全規劃進行更新,包括新增一些規劃内容、調整安全舉措的實施路線等等。
本文作者:Eleven-Liu/ 來源:部落格園
CIO之家 www.ciozj.com 微信公衆号:imciow