接上一篇《关于企业“下一代信息安全架构”的思考(二)》
本文为整个内容的第三部分。这是一个讲究干货的时代,需要不断创新与落地。
第三部分:企业怎么选择适合自身的安全架构?
(五)认识为先
前段时间和一个大型上市传统企业的CIO沟通过,他们对安全的认识就是别出“灭顶之灾”,对安全的认识还是被动的解决问题,救火的思路。在制定企业信息安全架构以前,企业高层对信息安全认识至关重要。将安全作为业务的一项核心竞争力,“主动的”进行安全建设工作,应该是一个企业高层对信息安全认识的基本出发点。
(六)企业安全架构规划方法论及关键点
企业信息安全建设的总体思路图如下。(信息安全架构是信息安全建设体系的核心指导框架和目标)
企业在进行信息安全架构顶层设计可参考的方法论如下。进行架构设计完成后,后续的详细设计、落地建设等等也至关重要。
在制定企业信息安全架构的一些关键要点如下:
首先依据企业的发展战略,明确定义企业的安全愿景、目标、角色和需要的安全能力等,然后再从业务到应用,再到系统再到基础架构。一步步分析并制定业务安全架构、数据安全架构、应用安全架构、基础设施安全架构等。
行业的安全要求:主要关注法律、规范等合规性的要求。比如PCI/DSS、HIPAA、等级保护、数据安全保护等。同时要关注行业的最佳实践比如ISO 2700X、COSO企业风险管理、ITIL等。
企业的业务需求:进行现状及风险评估,根据业务策略和IT战略,结合信息安全总体需求,提出信息安全的总体目标、建设思路,企业安全总体架构等。
注重未来的业务发展:考虑一些前瞻性的业务方向,进行面向未来的信息安全架构顶层设计。
架构不是只设计一个框架,后续的架构管控和架构变更也一定是架构设计的一部分重要内容。
(七)企业在进行体系建设工作方法上需要关注的点有哪些?
引言:落地是最难的,引用哥伦布的故事:五百年前,当伟大的航海计划在哥伦布心中萌动(目标清晰),他用了五年的时间成主水手(定位明确),再用了五年的时间成为学者(手段 先进),最后用了五年的时间四处演说,争取支持(领导支持、同事理解),一朝启程(组织到位),短短八个月里(流程顺畅),哥伦布发现了新大陆,他成了在历史的长河中流光溢彩的人物。值得信息安全人员借鉴。
(1)“大处着眼、小处入手”
仅仅讲思路是不够的,要注意操作层面的东西。 有了思路以后,必须要考虑阶段性的目标、重点是什么、如何有效阶段呈现工作效果让别人认可,这些都是保证工作能持续的关键。
(2)“先僵化、后优化、再固化”
快速上路很重要,在实施和推广过程中一定要坚持“先僵化、后优化、再固化”的思想,快速上路、快速调整。
(3)“三个一把手原则”
高层领导一把手,即取得最高管理层的支持和认可是项目成功的关键,在项目建设和变革过程中要打破部门墙;
中层各部门一把手,通过对业务流程的优化,项目实施带给业务收益和效率提升来进行引导,这样就减少了阻力,形成动力;
各基层部门操作岗位的一把手,更好的推广、监督、宣传,实现最大目标。
(4)思维的支点至关重要
从外向内看,从用户角度向自身投射看。outside-in的思路很关键 而不是inside-out。其实好多时候思路的出发点最关键。 换位思考, outside-in,从别人的角度来映射回看问题。
(5) “以终为始”
设计好(或思考好)路线和过程,从目标定期往回审视。避免:走的太远,忘记了为什么而出发。
(6)“持续优化,不断改进”
选择能够与竞争环境和业务需求匹配的系统,尽快行动起来,开始分享项目建设带来的回报,等待完美不会带来收益,信息安全项目是一个持续优化,不断改进的过程。
完成全文。