公司

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2022 > 正文

構(gòu)建安全運(yùn)營治理體系的核心要素探索與實踐

閱讀量：次

? //??

近些年，安全運(yùn)營體系的搭建與安全運(yùn)營能力建設(shè)，受到越來越多行業(yè)的重視。安全運(yùn)營治理，將安全服務(wù)（自有、外包）、安全管理（流程、制度）、安全技術(shù)（平臺、工具）等形成一個有機(jī)融合的安全運(yùn)營框架體系，整體提升企業(yè)的信息安全日常管理水平、風(fēng)險識別能力、安全防御能力，以滿足合規(guī)監(jiān)管和實際安全需求的目標(biāo)。

但從安全運(yùn)營治理實際效果上來看，大多數(shù)安全運(yùn)營工作未能取得預(yù)期效果。例如很多企業(yè)采購了大量高技術(shù)安全設(shè)備，組織一定規(guī)模的安全團(tuán)隊，也形成了基本安全流程制度框架，但仍無法有效覆蓋必要的安全保護(hù)對象，存在基礎(chǔ)安全問題無法根除、監(jiān)管單位通報時有發(fā)生、面臨重保和攻防演練手足無措、安全服務(wù)團(tuán)隊疲于應(yīng)付、對高級別安全威脅缺乏防御底氣等問題。

持續(xù)投入建設(shè)的人員、設(shè)備、流程、資金等，與預(yù)期效果之間的差距，都給企業(yè)尤其是信息安全相關(guān)部門帶來較大壓力。如何進(jìn)行安全運(yùn)營治理體系的規(guī)劃與建設(shè)，并發(fā)揮實際的安全效果，成為企業(yè)亟待解決的問題。

現(xiàn)狀問題與建設(shè)思路

Safe operation governance

分析現(xiàn)有安全運(yùn)營治理現(xiàn)狀不難發(fā)現(xiàn)，在搭建過程中，前期缺乏對企業(yè)現(xiàn)狀的調(diào)研分析，在運(yùn)營目標(biāo)和指標(biāo)設(shè)定方面缺少科學(xué)依據(jù)；中期在技術(shù)、服務(wù)等整合過程中缺乏有效輸入，無法保障流程機(jī)制的實現(xiàn)運(yùn)轉(zhuǎn)；后期在安全效率與安全效能發(fā)揮方面缺少量化分析，致使安全運(yùn)營體系優(yōu)化工作存在障礙。

充分認(rèn)識、梳理工作重點(diǎn)與難點(diǎn)，以咨詢視角合理設(shè)計解決思路，是安全運(yùn)營體系發(fā)揮安全效能的重要保障。

安全運(yùn)營治理工作的關(guān)注點(diǎn)

Safe operation governance

重點(diǎn)一

能力整合與實際效果

安全運(yùn)營工作，需要將人員組織、流程方法、平臺工具等要素高效運(yùn)轉(zhuǎn)起來，做到安全問題的提前發(fā)現(xiàn)與處置，并基于現(xiàn)有的狀況合理預(yù)測未來的形勢，保證安全能力不變的前提下，有效降低安全成本。遇到緊急安全事件，能夠按照SLA予以高效處理，同時針對不同時間緯度能夠?qū)λ邪踩\(yùn)營事務(wù)予以總結(jié)。

重點(diǎn)二

人是最重要的要素

安全服務(wù)有企業(yè)安全成員和外包員工，安全漏洞的修復(fù)同時涉及安全、運(yùn)行、運(yùn)維部門，在安全監(jiān)督合規(guī)方面，審計、合規(guī)、風(fēng)險、檢查等角色也參與其中。

部門工作邊界模糊、人員操作不規(guī)范、安全工作職責(zé)不清等問題，都會讓發(fā)生安全風(fēng)險的概率增加。團(tuán)隊之間協(xié)調(diào)、配合、統(tǒng)一管理難度非常大，如果出現(xiàn)緊急安全事件，缺乏適用的安全運(yùn)營治理體系，會導(dǎo)致內(nèi)部混亂低效，互相扯皮推諉，直接影響安全治理工作。

重點(diǎn)三

重要任務(wù)事項的流程化

安全運(yùn)營涉及的范圍很廣，基本涵蓋了安全的所有領(lǐng)域，工作任務(wù)執(zhí)行情況直接影響著整體安全運(yùn)營的結(jié)果。安全運(yùn)營治理體系框架內(nèi)的重要事項、工作任務(wù)都需要被有效的管理，就需要一個抓手，即通過安全運(yùn)營的工作流程予以保障。

重點(diǎn)四

基于整體目標(biāo)的指標(biāo)體系

在安全運(yùn)營治理體系內(nèi)，單個工作任務(wù)完成的好壞，均需要有量化指標(biāo)，所有安全工作完成好壞，均需要有指標(biāo)模型基線。實時監(jiān)控量化指標(biāo)，依據(jù)差距分析動態(tài)調(diào)整工作任務(wù)所需要的資源，確保工作任務(wù)順利達(dá)成目標(biāo)。

重點(diǎn)五

安全投入與產(chǎn)出可量化

信息安全工作的投入成本高，在確保成本可控的前提下，將安全防護(hù)的效能最大化是企業(yè)的難題。安全運(yùn)營治理體系的持續(xù)投入，要基于各類量化、非量化的結(jié)果，與此前進(jìn)行橫向?qū)Ρ?，以此作為資源投入與安全產(chǎn)出的衡量依據(jù)。

安全運(yùn)營治理體系實踐過程

Safe operation governance

咨詢視角強(qiáng)調(diào)以ISO27001和應(yīng)急響應(yīng)IPDRR(風(fēng)險識別、安全防御、安全檢測、安全響應(yīng)、安全恢復(fù))的工作方法論為基礎(chǔ), 采用流程化思維進(jìn)行建設(shè)安全運(yùn)營治理體系的規(guī)劃與搭建。

制定安全運(yùn)營框架體系的架構(gòu)設(shè)計（理現(xiàn)狀，定框架）

本階段主要以現(xiàn)狀調(diào)研與整體治理框架設(shè)計為目標(biāo)。針對人員組織，流程方法，平臺工具進(jìn)行現(xiàn)場安全現(xiàn)狀調(diào)研，根據(jù)安全運(yùn)營能力成熟度模型，進(jìn)行評估和差距分析，輸出安全運(yùn)營風(fēng)險分析和需求分析報告，制定安全運(yùn)營框架體系的架構(gòu)設(shè)計。

制定安全運(yùn)營指標(biāo)(提煉需求、設(shè)定指標(biāo))

根據(jù)業(yè)務(wù)場景調(diào)研和安全現(xiàn)狀調(diào)研，提煉安全運(yùn)營指標(biāo)需求，從人員組織成熟度、流程方法成熟度、工具平臺成熟度、安全事件響應(yīng)處置、呈現(xiàn)能力成熟度、數(shù)據(jù)安全成熟度、應(yīng)用系統(tǒng)安全成熟度、開發(fā)安全成熟度、安全權(quán)限成熟度、安全合規(guī)成熟度、基礎(chǔ)網(wǎng)絡(luò)安全成熟度、安全運(yùn)維的能力成熟度等維度，依據(jù)現(xiàn)狀和整體框架篩選度量維度，規(guī)劃設(shè)計安全運(yùn)營效能評估或者安全能力成熟度的評估指標(biāo)。

制定安全運(yùn)營流程（篩選流程、指標(biāo)落地）

運(yùn)營流程是安全運(yùn)營治理形成合力的重要保障。依據(jù)業(yè)務(wù)場景與目標(biāo)及安全運(yùn)營指標(biāo)，將業(yè)務(wù)流程和安全需求相結(jié)合，設(shè)置并結(jié)合人員角色和責(zé)任矩陣，定制設(shè)計安全運(yùn)營流程，保障指標(biāo)順利執(zhí)行落地。同時需要注意的是，運(yùn)營流程的線上化實現(xiàn)非常重要，依托工具平臺將流程自動化、可視化運(yùn)轉(zhuǎn)，確保安全效能的充分發(fā)揮，也是各部門和角色人員發(fā)揮自身能力和責(zé)任邊界劃分的重要保障。

定制基于客戶業(yè)務(wù)場景的安全運(yùn)營治理模型（模型設(shè)計、結(jié)果量化）

根據(jù)安全調(diào)研評估分析，結(jié)合安全運(yùn)營指標(biāo)與安全運(yùn)營流程，可以從安全運(yùn)營的3個階段：事前，事中，事后的橫向維度，或者以信息安全治理安全合規(guī)、數(shù)據(jù)安全、應(yīng)用安全、開發(fā)安全、安全權(quán)限、安全運(yùn)維、基礎(chǔ)網(wǎng)絡(luò)安全的7個縱向維度定制企業(yè)的安全運(yùn)營治理模型。

安全運(yùn)營治理模型的設(shè)計，能夠確保企業(yè)對整個安全工作予以運(yùn)營掌控。例如Capex（初始投入成本）、 Opex（持續(xù)投入成本）、安全防御能力指數(shù)，安全風(fēng)險指數(shù)等安全運(yùn)營投資收益比的量化，也能有效衡量各項安全需求和對應(yīng)支撐的安全服務(wù)組織流程工具的成本、功效、風(fēng)險安全運(yùn)營性價比等。

總結(jié)

Safe operation governance

安全運(yùn)營治理體系的規(guī)劃與建設(shè)作為一項系統(tǒng)化工程，是安全治理工作的重要支撐，也是確保企業(yè)安全質(zhì)量保持較高水平的核心基礎(chǔ)。區(qū)別于以往的安全運(yùn)營建設(shè)思路，以安全咨詢規(guī)劃視角，建設(shè)有要素輸入，過程有指標(biāo)監(jiān)督，結(jié)果有數(shù)據(jù)度量，是確保安全運(yùn)營治理體系取得預(yù)期效果的保障。

安恒信息安全運(yùn)營治理體系

安恒信息深耕安全運(yùn)營領(lǐng)域多年，構(gòu)建并沉淀了以咨詢規(guī)劃設(shè)計、平臺技術(shù)支撐、安全服務(wù)交付三大體系為核心的安全運(yùn)營治理支撐能力。針對城市級安全運(yùn)營治理體系規(guī)劃、企業(yè)級安全運(yùn)營中心與能力建設(shè)、中小機(jī)構(gòu)MSS模式安全運(yùn)營服務(wù)擁有豐富實踐經(jīng)驗，科學(xué)規(guī)劃、有效落地，為客戶建立適度、適用的安全運(yùn)營治理體系是安恒信息在安全運(yùn)營領(lǐng)域一直追求的目標(biāo)。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>