Friday, November 2, 2018

CSO怎么做 1 - 8

  • CSO怎么做(8)数据防泄漏的体系应该如何运作?
  • CSO怎么做(7)信息安全、大安全与合规
  • CSO怎么做(6)如何运行企业信息安全管理体系?
  • CSO怎么做(5)如何设计一个企业的信息安全目标和路线图?
  • CSO怎么做(4)-?如何评价一个企业的信息安全工作的好坏?
  • CSO怎么做(3)CSO的4个核心工作
  • CSO怎么做(2)理解企业信息安全工作的几种驱动方式
  • CSO怎么做(1)序+几个名词概念

From : https://www.sec-un.org/


整整1年前,想写一系列文章,把CSO这个岗位的工作套路总结一下,不止包括自己掌握的,也包括听到的、看到的、从别人那里学来的。核心目的很简单:总结共享、共同提升。结果后来工作上的事情一忙起来,然后也有点懒,就耽搁了。今年决定要完成这个目标,于是,提起精神来、认真做下去。
因为比较擅长写制度、写策略,所以想保持一点严谨性,先定义几个名词概念,避免读者对后续的内容产生误解。说的不严谨之处,请大家指正。
l  国家安全
根据“国家安全委员会”的相关公告和百度查询,定义为:集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系。
注意,这里用词是“信息安全”,我其实有点疑惑,按照现在的用词风格,用“网络空间安全”似乎更加合适,为什么呢?我为之找到的理由是(1)网络空间安全其实是其他层面的安全在网络空间的投射,可以被其他层面的安全概括;(2)信息安全可能更加强调对各类信息资产、关键信息基础设施、个人信息中的“信息”保护。
l  网络空间安全 Cyber
Security
按照《国家网络空间安全战略》的描述,“网络空间安全”指“国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益”(不过文中并没有这么定义,是我自己总结的)。
在网络空间里面,维护国家主权和国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和违法犯罪等工作都归于网络空间安全工作的范畴,国家层面由中央网络安全和信息化领导小组、中国国家互联网信息办公室具体负责。
网络空间安全有时候也会被称为“网络安全”,因此在内涵、解释上往往容易造成误会。狭义的网络安全通常指保护关键信息基础设施、及其他有重大社会影响的信息系统,防止被攻击、入侵、破坏、利用和窃取数据,更大比例上用技术手段来实现。
l  企业信息安全 Information Security
指企业(包括政府、各类企事业单位、社会团体)为了自身利益和所承担的社会责任,保护所管辖范围下信息的机密性、完整性、可用性(有时候还包括抗抵赖性、可追溯性)。企业信息安全的内涵分为信息资产安全、业务安全。
信息资产安全指企业内部流转的信息资产(如各类电子文档、纸件、邮件、代码、有智力成果的固件、各种数据库里的数据、系统日志、办公研发区域、核心人员等)的机密性、完整性、可用性。
业务安全指企业内部核心业务的业务目标不被内外部威胁所破坏。这里的业务目标不止包括机密性、完整性和可用性,还包括收入、利润、真实用户量和访问量等各类业务指标。在不同行业和企业,业务安全的内涵有差别。

l  数据安全 Data
Security
指各类电子数据的机密性、完整性、可用性。电子数据的典型形式包括但不限于各类电子文档、邮件、代码、有智力成果的固件、各种数据库里的数据、系统日志。我认为数据安全属于企业信息安全的一个子集,之所以会有这个子集,是因为电子数据的安全主要会通过技术手段来实现,由此就会派生出不同种类的安全工具和解决方案。

l  CSO
这里定义的CSO,应该是企业内部信息安全团队的实际负责人,是信息安全业务的一线、实际负责人。至于是行政正职还是副职、副总裁还是一级部门负责人还是二级部门负责人并不重要。
后面设想的几个话题,不一定完全是我来写,也可能我会撺掇几个朋友一起来写。
l  理解信息安全工作的几种驱动方式
l  CSO应该如何开展工作
l  如何评价一个企业的信息安全工作的好坏?
l  如何设计一个企业的信息安全架构和规划?
l  如何运行一个企业的信息安全管理体系?
l  企业信息安全团队人员的知识体系结构
l  数据防泄漏的体系应该如何建立、选择和运营?
l  信息安全审计体系应该如何建立、选择和运营?
l  如何满足信息安全合规要求?
l  一些靠谱的信息工具、平台推荐?踩过的坑和经验


CSO怎么做(2)理解企业信息安全工作的几种驱动方式


什么叫信息安全工作的驱动方式?就是回答一个企业为什么要做信息安全。正确理解一个企业为什么做信息安全,可以(1)知道这个企业的信息安全目标、重点是什么,知道为什么而战怎么战更重要;(2)找到一个最合理、最有效的方式来推动信息安全工作,同时也能够更好地达到信息安全工作目标、展现价值;(3)对CSO、信息安全从业人员的职业发展也是很重要的参考,知道这家企业是否适合自己、自己是否可以找到价值最大化的平台。
根据个人经验,我将企业信息安全工作驱动的方式归纳为4类:
1.     
事件驱动型
顾名思义,就是以被动响应为主的工作方式,通常指由于内部信息安全事件(诸如数据丢失或损坏、文档失窃、商业秘密被窃取、知识产权被侵犯、竞争对手的恶意破坏)、外部信息安全事件(诸如WiFi万能钥匙、勒索病毒爆发、斯诺登事件被披露),从而开展一系列安全建设动作。
2.     
合规驱动型
这个也很好理解,就是以满足外部规范、要求为主的工作方式,通常是根据外部规范、要求建立自身的信息安全管理体系,以达到规范要求为主要目的。
3.     
消费驱动型
没错,你没看错!就是以花预算为主的工作方式。通常是根据内外部规范、最佳实践和供应商推荐,制订年度规划和预算,开展信息安全建设。其主要目的是把今年的预算花完,明年才能够有足够的预算花,剩下的只要不出事就万事大吉。
4.     
业务驱动型
我原先把这种工作方式命名为“规划驱动型”,但是仔细研究后发现,“合规驱动型”和“消费驱动型”也可能形成明确的规划、并按照规划推进落实。斟酌之后,我调整为“业务驱动型”。常见的状态通常是这样的:(1)老板或业务部门重视;(2)通常以业务部门发起、提出安全改进需求,或以信息安全部门发起、调研业务部门并形成安全改进需求,且业务部门的安全改进需求是信息安全部门工作的主要内容,其改进效果也应该是信息安全部门绩效的主要输入源;(3)由于自身能力的问题,也可能会基于业务需求开展一些局部的、不系统的安全建设,甚至可能效果不好;(4)业务驱动型做得好,往往也会有合规驱动的工作形式和内容。
业务驱动下的信息安全目标,大致归纳为几种(1)保护商业秘密和自主知识产权不被窃取和破坏;(2)保护用户个人信息、数据和身份安全;(3)保护系统和应用的安全;(4)保护营销推广、交易、支付、营收等业务目标的达成,保护企业和个人的钱款,不被破坏、窃取、恶意利用。其中(4)被很多金融企业、互联网企业称为“业务安全”、“风控”,而我对“业务安全”的理解会更广,这个话题另文描述。
以下根据个人经验所知,不免有些偏颇,仅略做总结:
金融行业首先以合规驱动型为主,近些年随着金融监管的加强、攻击窃取事件的发生、对数据安全和个人信息保护的重视,正逐步迈向业务驱动型,优秀的金融单位已经显然是业务驱动型。其中,银行业成熟度最高,证券业其次,保险业最后。
互联网金融近年来蓬勃发展,但由于面临监管合规和持续盈利的压力,总体局面上处于合规驱动型+业务驱动型结合,不同企业根据投入、自身能力各有偏重。
国内的电商、社交、游戏行业,由于业务开展充分依托互联网,无论是要对抗入侵和攻击,还是要防范内部操作风险都是生死存亡的关口,因此以业务驱动型为主。
科技行业(包括了传统的生产制造企业,新经济形态下的生产制造+研发企业,非互联网的纯研发类企业)中分化显著。营收和利润已经达到一定规模、具备一定市场影响力的科技企业,如果在保护自主知识产权、商业秘密方面有原发的动力,会很快地进入业务驱动型。而如果缺乏足够的科研实力,也就缺少保护知识产权和商业秘密的动力,往往会以事件驱动型或合规驱动型为主,并且合规驱动的动力大多来自于大客户。
对于政府、事业单位、关键基础设施(水、电、气等)管理运营单位,即使在强力推进《网络安全法》和等保测评标准的今天,我也认为是消费驱动型为主,合规驱动+事件驱动为辅。说的不客气点,其实主要目标就是花钱、堆项目,顺带解决部分信息安全问题。个人经历所限,我所见的这些单位都在华南,本观点不针对全国。
运营商的信息安全,总体上我认为属于合规驱动型。
地产、商业集团,我也见过3-4个,比较难以理解他们的信息安全工作驱动力是啥,就不瞎说了。
你所在的企业,信息安全处于那种驱动方式?来聊一聊?


CSO怎么做(3)CSO的4个核心工作


当一个公司开始设置CSO这个岗位的时候,意味着公司高层希望在某种程度上把信息安全工作抓起来、需要有人对此统筹、负责。绝大多数情况下,这家公司的信息安全已经有了一定的基础、采取了一些信息安全控制措施。那么,CSO应该如何开展工作?
Rapido写的《如何做好首席信息安全官企业安全体系与架构实现》这篇文章,列举了CSO12大能力要素,内容全面、见解入木三分,看的很有感觉,但是我认为绝大多数CSO都到不了这个平台,也没必要具备这么多能力要素。根据我的经验进行了一些裁剪,我认为CSO应该要做好4个核心工作(或者说是具备这4方面能力):1、定目标;2、带团队;3、沟通;4、获取资源。

1.       定目标
1)什么叫“目标”
目标是对效果、改进、提升的定义,可以是量化或者非量化的定义。目标一定要描述解决了什么问题、实现了怎样的改进和提升,而不是对任务、动作的描述,目标还应该包含时间约束。当然,目标分为当期目标、中长期目标。
举例如下:正确的描述方式应该是“Q1结束后,核心研发区域人员出入全部受到检查和管控,没有遗漏”、“到今年底,除访客区外,接入公司网络的各类终端全部符合安全策略”、“本周末实现办公网终端全部实现文件防丢失”,而不是“核心研发区域配备了24小时保安、金属检测仪”、“除访客区外,接入公司网络的各类终端全部安装了接入控制软件”、“办公网终端全部安装并启用了文件加密策略”。
不要小看这一条,是否能真正认识并做到这一点,安全团队的绩效会有质的差异。
2)梳理现状
定义目标之前,还要梳理现状、对当前的状态有充分的了解。参见风险评估的方法论,很多咨询公司、审计公司都可以帮忙做。但我的建议是,CSO和团队骨干要充分全面地参与到这个过程中、发挥主要作用,如果只是听汇报、看材料,肯定不如一手材料来的真实、客观和深入。
梳理现状的过程中,很重要的一点就是要识别出这家公司的信息安全驱动方式:是业务驱动型,还是事件驱动型,还是消费驱动型。这对于定义目标和后续执行是有很大帮助的。
3)确定价值、定位、目标、规划路径
确定目标的过程中有4个要素:价值、定位、目标、规划路径。
明确团队价值:就是用1-2句话讲清楚信息安全团队在公司里面的主要贡献、功能是什么,描述方式要让老板听得懂。比如“保护公司的商业秘密不泄露”、“保障公司办公网络不被入侵和破坏”、“保障公司业务平安开展、不被破坏、窃取,且合法合规”。
明确定位:定位就是讲清楚安全团队做什么、不做什么,现在做什么、将来做什么,把边界、尤其是“不做什么”的边界划清楚。如我在第一篇所述,企业信息安全的工作范畴随着“业务安全”概念的引入,有时候会变成一个大安全团队,所以要讲清楚:物理安全管不管?业务合规管不管?是只管办公网络,还是也要负责生产网络?和IT之间是什么关系?要不要负责对抗薅羊毛?和审计部门是什么关系?产品安全要不要负责?有没有处罚权?
明确目标:其实就是“确定要解决什么风险以及优先顺序”。当然,目标需要定期刷新,具体做法在后面的篇章中有介绍。
明确规划路径:目标不可能一步到位,可能分为几个阶段或几年。那就把每个阶段、每年要达到的目标列出来。定目标和规划路径的过程一定要和业务单位高管、公司领导充分沟通,这是统一目标、统一认知的过程,同时也是一个对业务单位高管、公司领导开展安全教育的大好机会。
4)关于信息安全与IT、流程、运营、质量的关系
在思考和实际执行过程中,信息安全团队不可避免地与公司的IT、流程、质量、运营团队发生关系。华为轮值CEO徐直军在
http://blog.sina.com.cn/s/blog_1326be2ff0102wbgg.html)详细论述了这几个模块之间的关系。非常值得学习、体会和实践。
5)关于业务安全
业务安全的概念见第一篇。信息安全团队在完成了对企业信息管理体系的建设之后,就要进入业务安全的阶段了。CSO必须清楚地认知到,熟悉业务、服务于经营是必由之路,让业务平安地、合规地开展、赚钱,是真正突破信息安全业务的天花板的唯一路径。必须从人才、能力、工作内容方面做好全面准备,后面的篇章对此会详细介绍。

2.       带团队
(1)     组建团队
选人用人的话题就不多说了。
信息安全团队内的组织架构一般要覆盖几个模块(1)安全意识教育;(2)安全策略与规划、体系与流程建设;(3)必要的业务安全;(4)技术防护;(5)攻防渗透;(6)审计和检查;(7)事件响应;(8)运营与优化。根据团队规模、资源投入、行业特点、公司经营重点选择、裁剪和组建。
(2)     提升团队能力
(3)     引入外部专业力量
这里请参考“7-2-1能力模型”,也就是70%实战、20%以老带新、10%才是培训上课,很多管理者在这个问题上容易本末倒置。纵观各个行业的大牛,都不是靠培训形成的,而是在实际工作中、通过解决一个个难题锻炼、成长起来的,这是根本规律,不能忽视。
在带队伍过程中,寻找、利用好外部专业力量是必不可少的,可以开拓视野、吸收学习别人的经验能力。一边实战,一边学习才是最有效的培训和提升能力的方法。
信息安全团队的绩效考核,推荐用KPI+OKR结合的方法。后续篇章会有详细介绍。
(4)     树正气
特别想在这里强调“树正气”这个要求,一方面是和供应商、合作商接洽要求,一方面是对内管理、协调。CSO要带头在团队内树立拒绝吃拿卡要的作风,坚持以能力和效果选拔供应商、合作商;CSO要带头在公司内部拒绝山头主义、帮派主义,真正以意愿、能力和成果管理队伍;这样才能带出一支有战斗力、能解决问题的团队。华南地区我亲眼见过、亲耳听过,有4-5家企业的安全团队负责人出身于某单位,能力大都不错,但很不幸的是,该单位号称金融行业的黄埔军校,内斗基因也很强大,导致信息安全队伍关系复杂、流失严重。希望大家都能避免这种情况。

3.       沟通
这一节其实和安全技能关系不大,但我认为是作为CSO角色必备的基本、核心能力之一。如果不具备这个能力,其实是一个不称职的CSO。所以想啰嗦几句。
1)首先搞清楚,沟通的目标是什么?
为什么要沟通?沟通是为了达成3个层面的一致:信息一致、目标一致和方案一致。
信息一致就是把双方掌握的信息搞对称,这是消除误解、达成一致的基础。
目标一致就是在信息一致的基础上,使得沟通双方的立场、出发点、想解决的问题、解决问题后达到的效果是一致的。很多时候不同单位由于部门利益或其他因素,往往会在这个问题上纠缠不清。这时就需要CSO的智慧、合理运用公司内部的规则、机制和潜规则。如果能达成目标一致,问题其实已经基本得到了解决。特别强调,这里的目标一要符合上面说的“目标”的定义,同时也应该是对公司最有利的目标、而不应该是部门利益优先的目标,只有这样,才可能达成目标一致。我个人遇到的情况,至少80%的误解分歧是由于双方的目标不一致造成的,而一上来就谈应该怎么怎么做,导致最后根本没有办法达成一致。
方案一致就是在目标一致的基础上,使得沟通双方就后续采取怎样的行动步骤和举措达成一致。在目标一致的基础上,这类分歧比较好解决。
(2)     和谁沟通、怎么沟通?
PMBOK项目管理知识体系中,我认为最重要的领域就是“干系人管理”,同样的道理运用在CSO的工作中也成立。找到信息安全工作的核心客户、核心干系人,及时、有效与核心客户、干系人达成一致,让核心客户、核心干系人支持信息安全工作,CSO的工作已经成功了一半;反之则会重重阻碍。很多技术出身的安全人员担任管理岗位后,往往没有特别好的业绩输出,其实就是输在和客户、干系人的沟通管理上。
同时,在沟通中怎么让核心客户、核心干系人听得懂、快速理解和接受,也是一个重要的技能,这里就不赘述了。
3)与合作部门的沟通合作
信息安全工作与IT、行政、人事、财务、法务、质量&流程部门往往会有合作,因此与这些合作部门的老大保持良好的沟通也是必要的。尤其记住,人事和财务是不能得罪的,有理有利有节最重要。
4)项目管理&及时的汇报、成果展现
是的,作为CSO,你的成果就是整个团队的成果。因此,及时的汇报、成果展现是必须的。既可以让客户、核心干系人看到你的进展和成果,同时也将工作进展中的问题、困难展现给客户、也是一个绝佳的教育措施。没有人会嫌弃你汇报的太多。记住,凡是沟通皆教育。

4.       获取资源
定了目标就要干,没有资源怎么办?作为管理者,获取必要的资源是CSO的重点工作之一,不同的企业环境下可能还是核心工作。
资源包括人、财、物、政策、内部支持者、供应商&合作商资源。具体就不多说了。


CSO怎么做(4)-???







CSO怎么做(5)如何设计一个企业的信息安全目标和路线图?


一个CSO上任之后,他的第一个任务应该是什么?排除一些紧急事件处理的因素之外,我认为应该是设计和明确企业的信息安全目标和路线图。CSO上任一定是承担了企业管理层对信息安全的一些期待,那么如何满足管理层的这些期待?除了一些短期应对举措外,就必须要拿出一个中长期的、可行的信息安全目标和路线图。所谓“目标”,就是信息安全要做成什么样子、是一个结果状态;所谓“路线图”,就是通过怎样的实施路径、在不同阶段达到怎样的状态,并最终达到这样的架构状态。这个架构规划不止要给老板看,也要给自己看、给团队看、给兄弟部门看,以便在后续的工作中形成统一的目标和语言。
那么,如何设计一个企业的信息安全目标和路线图呢?以下方法论和认知更多地源于我既往的工作经验,可能更适合科技研发型企业的信息安全架构规划。
1.       明确信息安全工作的价值、定位
价值、定位的定义已经在“cso的四个核心工作”章节中描述过了,这里再简要摘录一下。这里再继续强调一下价值和定位的重要性,它就好比在战争中一支部队知道自己为什么而战,你往往就能获得最终的胜利,
(1)团队价值:就是用1-2句话讲清楚信息安全团队在公司里面的主要贡献、功能是什么。
(2)明确定位:定位就是讲清楚安全团队做什么、不做什么,现在做什么、将来做什么,把边界、尤其是“不做什么”的边界划清楚。
2.       梳理信息安全工作的输入
任何工作都是有收入才有输出的,那么信息安全工作的收入都有哪些?
(1)行业趋势:分析企业所在的行业的,未来35年的发展趋势,要从中挖掘出对于信息保护以及人才保留的态度。比如科技研发型行业往往是资本密集型或者知识密集型,因此对于信息保护和人才保留是高度重视的;金融行业对于资金安全、客户信息保护(尤其是后者)这两年看得特别重;O2O行业业务完全则非常重视。
(2)企业发展和经营战略:也都会制定自己的发展和经营战略,都会明确业务拓展、公司治理、信息化方面的要求,结合信息安全团队的价值和定位,也就能够从中挖掘出对于安全的需求。
这里特别想多说两句,信息安全团队如何能够在企业中发挥独特的、不可替代的价值,一定不要只局限在“机密性、完整性、可用性、可追溯性、抗抵赖性”这些理论层次,一定要去做保障企业利益最大化的工作!怎么保障企业利益最大化?“保增长、保核心竞争力”是核心的两条,在某些行业还可以加上“保障竞争最激烈的领域”。从这三条出发,挖掘并满足业务安全需求,可以说是无往而不利。
(3)老板和核心业务部门的要求:如果以上行业趋势和企业经营发展战略实在挖掘不出什么内容,那么就去找老板和核心业务部门的主管去调研,获得他们的意见和需求。老板是公司资源的决策者,核心业务部门为公司创造了核心价值,解决他们遇到的信息安全问题、满足信息安全需求,既能够最大化地保障企业利益,也能够在公司内获得最大程度的支持,这听上去或许有点公司政治,但无疑是正确的。绝大部分企业的人力资源部门和财务部门,应该也包括在核心业务部门中。
(4)IT战略和架构:都说信息安全工作是三分技术、七分管理,但在当今社会中,几乎无法脱离IT环境来从事信息安全管理工作。所以整个IT的战略和架构,对信息安全无疑有深刻的影响:比如IT架构是不是会越来越多的采用虚拟化?企业经营所需的大数据分析或跨系统数据整合流动,对于数据安全有什么挑战?IT组织架构和工作职责的调整带来的安全管理流程的变化是什么?等等,不一而足。
(5)过往安全事件和漏洞:分析过往2-3年里企业内部和外部,发生的典型信息安全事件,或暴露的信息安全漏洞。应着重分析其根本原因,并在后续的架构和路线图中,采取措施、避免再犯。
(6)审计发现问题:调阅过往23年里信息安全审计中发现的问题,并着重分析其根本原因,在后续的架构和路线图中采取措施,避免再犯。这里“信息安全审计”包括(1)访谈和走查为主要形式的内部检查;(2)渗透测试;(3)后台安全工具审计或运营;(4)外审。
(7)合规要求:应全面梳理企业应遵守的信息安全合规要求。合规要求种类包括(1)国家或地区颁布的强制性法律法规(如中国政府颁布的《网络安全法》);(2)行业规范或标准(如工信部颁布的对电信运营商、互联网服务提供商的《电信和互联网用户个人信息保护规定》;(3)与企业客户、供应商签署的商业合同中的信息安全条款;(4)各种ISO管理标准、体系中附带的信息安全要求;(5)如果是上市公司,还要遵循上市监管要求当中所包含的信息安全要求;
(8)同行做法:挑选一些优秀的同行,参考并借鉴他们的管理技术思想是非常必要的。切记生搬硬套、直接照搬别人的具体做法,而不顾企业的实际情况。
3.       大致确定信息安全目标
需求、输入分析完毕之后,这时就要基本确定未来3-5年的信息安全目标。再次强调,目标就是“确定要解决什么风险以及优先顺序”,而不是做什么动作。举例:目标1是“杜绝全公司IT系统的账户被盗用、滥用风险,以及人员离职、调岗之后的权限不受控风险“”;目标不应该是“部署一个统一帐号平台,管理全公司IT系统的帐号认证和授权”。
4.       以风险评估或审计的手段开展调研,以做需求的方法进行分析,找到企业信息安全当前存在的主要不足
目标确定了,下一步动作就是找差距。这个动作的3大要点
(1)          
以风险评估或审计的手段开展调研:是的,传统的风险评估方法依然是普遍适用的。不但要有访谈,而且一定要现场查看;不但要听,还要有证据、看实证。这一步动作我建议CSO一定要亲自参与,一手信息和下属汇报的信息一定是有很大差别的。
(2)          
以做需求的方法进行分析:做需求的的方法就是不断地问“为什么”,进而找到问题、需求的根本原因。是投入不足?意识不足?网络架构不合理?人员能力不足?找到根本原因才能对症下药解决问题。
(3)          
找到主要不足:如果不是特别有钱、请了咨询公司,大多数企业应该都是自己做差距分析。在人力和时间都有限的时候,找到2-3个主要差距并加以改进就可以了。
5.       明确35年之后,企业信息安全的目标
3步已经基本确定未来3-5年的信息安全目标。为什么是“基本确定”?因为实际上在差距分析的过程中,有可能发现新的风险和问题,进而需要调整目标。因此,现在我们就需要明确企业信息安全的目标。那么,这个目标应该包括哪些内容?
(1)   
信息安全团队的价值和定位;
(2)   
细分信息安全各个维度,描述各个维度要解决什么问题,以及达到的状态。这是“目标”的核心内容;
(3)     IT系统架构和配套的主要信息安全策略;
(4)   
信息安全团队的组织架构、职能分工、运作机制,以及与兄弟部门的合作机制;
关于(2),一定会有人问从哪些维度描述?这时,上一篇提到的“如何评价一个企业的信息做的好不好”就派上用场了。可以是PersonProcessTech,也可以是纠正预防、阻断拦截、发现响应、打击威慑,或者其他维度,自由选择吧。这样保证老板、兄弟部门看得懂,既能够和未来的工作衔接的上,也可以保证评价维度的一致性,一箭三雕。
关于(3),推荐参考ESA/EISA/ToGAF进行IT架构的分析。我认为其核心思想应该是首先分析业务流程,然后再分析其中的数据流,然后才能采取恰当的安全策略和架构进行保护。这几个方法我也不是很熟悉、只能说粗浅地用过23次而已,算不得经验丰富,就不班门弄斧了。
6.       对以上输入的需求、找到的问题,进行优先级排序,进而确定企业信息安全的路线图
这一步就比较简单了,基于目标和差距,确定要采取哪些改进措施、实施的时间表,就把整个路线图展现出来了。
改进措施不要局限在做项目、上系统、部署产品,这是很多人都会犯的毛病。很多企业的信息安全其实不缺工具、不缺策略、不缺人,但就是老板和业务部门不满意,往往是后续的检查、审计和运营没做好、甚至是没做,也就是PDCAcheckassessment没做。因此在路线图里面,审计和运营一定不要缺失。
有的企业可能还会遇到这样的问题:IT架构甚至IT工具还不是很完善,但是企业的信息安全还必须要采取措施抓起来,这个时候其实很考验CSO的智慧。我对这种情况的建议是,CSO要勇敢地跳出束缚,推动甚至是积极参与IT架构的建设和完善过程中,要知道虽然信息安全≠IT安全,但是IT架构和信息安全架构就是“皮之不存毛将焉附”的关系。如果可以的话,CSO可以一手抓信息化建设,一手抓信息安全。
从我过往的经验来看,对于无论金融企业、互联网企业还是科技研发型企业,对数据的分类分级依然还是信息安全的基础工作之一,不可或缺。其核心原因是要找出防护重点,这样才能有最好的投资收益。

7.       估算资源,和兄弟单位、老板达成一致
信息安全的目标和路线图规划获得兄弟单位的支持和认可是很重要的一环,我在《CSO4个核心工作》中讲过,沟通并达成一致是CSO的核心工作之一。是时候发挥你强大的小宇宙了!
老板的支持和认可也是必不可少的。CSO要在这个环节保证老板参与了、听懂了、认可了,并在资源上给予支持。当然了,资源总是有限的,资源不够、能力补上嘛。

8.       半年或者一年为界,滚动更新
达成一致之后,该做的就是执行和滚动更新了。滚动更新的频率根据行业、企业的差别不同,一般以半年或一年为宜。




CSO怎么做(6)如何运行企业信息安全管理体系?


1.     
为什么要有信息安全管理体系?
从CSO的角度看,信息安全工作是一项管理工作还是技术工作?当然是管理工作,即便CSO的工作量主要投入在技术方向上,它也还是一项管理工作。为什么,因为技术工作也是需要基于框架、架构和方法论,这些框架、架构和方法论能够保障信息安全工作按照正确的方向前进、并提供企业所需要的价值,这些框架、架构和方法论在我看来就是管理体系。因此,CSO的工作范围之内必须要有信息安全管理体系。
选择哪个管理体系来作为团队运作的基准呢?如果是我,首选是ISO27001。原因嘛,一是只会这个,二是“PDCA”的思想方法深深吸引了我,在下面的内容中会看到,我并不会提到什么ISO27001的控制点,其核心思想就是“PDCA”。
2.     
信息安全管理体系包括了哪些要素?
根据以往的工作经验和认知,ISO27001:2013版的13个安全域的划分对于老板、管理层来说过于专业和晦涩,我把它重新做了划分。
n
安全组织运作
n
安全基础设施(Tech、Process)
n
业务安全和流程嵌入(Process)
n
人员意识提升(Person)
n
审计、运营和改进
以上划分的依据就是“如何评价一个企业的信息安全做的好不好?”篇章里面提到的评价标准,然后略微加了2点。这样做的目的就是最终保证管理体系和评价标准能够对的上。看出来没有,为什么我要把评价方法写在前面?因为后面最终都要和评价方法挂钩。如果你的工作最终无法评价、无法让客户和老板看懂、接受和认可,作为一个CSO是失职的。下面分别讲讲这几部分的运作。
3.     
信息安全组织运作
有人可能会觉得很奇怪,为什么第一个段落是“安全组织”?CSO得有人有枪才能开展工作对不对?有了人之后的第一件事情是什么,就是定组织架构、职能。这就是安全组织运作的一部分哪!我这里定义的安全组织包括几部分:(1)信息安全专职人员,通常是CSO直属管理的人员;(2)企业内信息安全兼职人员(很多公司会称为“部门安全员”“安全管理员”)、信息安全团队的兄弟部门;(3)企业内的安全委员会;(4)外部专业力量,包括外包团队、供应商。
(1)无论金融业、科技研发型企业,现在大多把企业内部的信息安全组织分为3层:决策层、管理层、执行层(叫法上、人员组成上大同小异,就不一一剖析了)。决策层通常是老板,或者是多个高管组成的委员会;管理层通常是信息安全团队;执行层通常是企业内兼职安全人员、兄弟部门组成。这些其实都是信息安全团队的资源部门,CSO大概无法决定决策层的人员构成,但是一定可以决定执行层的人员构成;按照HR的“选育用留”的理念,选拔有意愿、有主动性和热情的人参与进来更加重要,因为能力是可以培养的,而意愿和热情却很难被激发。
关于管理层、通常就是CSO直属的专职信息安全人员的职责划分,只强调一点:一定要关注PDCA的职责明确,要让PDCA这个过程在组织内部通过职责、流程运转起来。
(2)人有了,下面要做的就是安排任务、干活?NO!首要关注的应该是如何让组织内的人具有共同的目标,并且愿意为了共同的目标而奋斗。因此这时应建立运作和激励机制。运作机制就是这几个组织的运行方式,通常就是定期开会、日常沟通报告,不要小看这些动作,它是组织存在和运转的有效手段;通过开会、沟通过程中不断地传达组织的目标,也可以对组织内人员达到宣贯、激励的作用。激励机制就是对组织内人员进行(正向、负向)激励的方式和资源保障,通常就是各种物质和精神激励,包括各种奖惩;我个人比较喜欢正向激励、奖励。
很多企业在信息安全工作的开展过程中,会使用外部专业力量、供应商,但极少将之视为信息安全组织的一部分,这里我提一个仍在运用和不断成熟中的观点:“找到2-3个合适的供应商,将之视为自己的战略合作伙伴,并在信息安全工作中共同成长。”具体内涵大家可以先琢磨,我先不展开叙述。
(3)人有了,组织职责明确了,运转机制也敲定了,下面要注意什么?提升组织成员的个人能力!通过沟通汇报、呈现同行信息、通报信息安全事件、重大事务决策等过程提升决策层对信息安全的认知、重视程度,通过内训、外训、实战、以老带新的方式提升管理层和执行层的实战能力。
4.     
建立和优化安全基础设施
信息安全管理体系如果是个金字塔,那么它的基石有三个,“安全组织”、“IT基础设施”和“体系文件”。后两个就是这里要讲到的“安全基础设施”。
(1)IT基础设施:这个很好理解。虽然是“3分技术、7分管理”,但是对很多企业来说可能70%的的工作量都在IT领域,这也是正常现象。信息安全工作的开展其实和IT工作关系密切,因此我建议CSO及其团队成员深度参与到IT架构的设计、IT部门的年度规划,以及重点的IT项目。对于不重点参与的IT项目,也要在项目和系统的需求分析、架构设计、部署上线3个环节进行评审和把关。
(2)符合ISO27001要求的体系文件
为什么要有体系文件?我觉得核心原因是几个(1)这是书面发布的规则,是后续执行和检查的依据;(2)编写体系文件的过程也是对自身信息安全管理体系检查的过程,通过这个过程可以查漏补缺。至于如何编写体系文件、如何编排文件层级和内容,过于庞杂就不详细叙述了。
每个企业在这方面可能往往面临一个问题:什么时候发布体系文件是最恰当的?早了,各方面还不成型,文件没啥用;晚了,各方面都已经定型,文件没用上。对此我的回答是(1)可以请咨询公司、同行帮你把个关,向别人学习必有好处;(2)只要员工和老板对信息安全已经有初步的认知,IT在终端、服务器、网络、应用系统已经采取了基本的安全措施并运行过2年以上,就可以启动体系文件的工作了。体系文件不要指望一步到位,往往需要3-5年的实际运作才会完善完备,这个迭代优化的过程,其实就是决策层、管理层和执行层不断能力提升、意识的过程。
5.     
业务安全和流程嵌入
(1)什么叫“业务安全”?怎么做、达到怎样的状态能够叫业务安全?
在第一篇“名词定义”里面有过简单讨论,后来得CMB的邱哥一句话指点,顿时醍醐灌顶:“业务安全就是让业务能平平安安地赚钱”。
但是这句话在不同的行业、企业里面,内涵肯定是不一样的,一方面看行业形态,一方面看老板对业务安全的理解和定义。O2O行业里面,业务安全就要对抗薅羊毛、虚假注册和盗刷;金融行业里面,业务安全就要对抗虚假身份、虚假交易、支付逻辑漏洞被利用;互联网行业里面,业务安全就要对抗欺骗用户、防止黄赌毒信息的泛滥以及反入侵;科技研发型企业里面,业务安全就要做到业务活动灵活开展,核心信息不泄漏,在科技研发型企业里面,“数据安全”≈“业务安全”。
(2)如何做好业务安全
首先要明确一点,信息安全团队对“业务安全”是有职责义务的,而且要深度介入。这是信息安全团队最终的价值体现。
其次,定义好“业务安全”的内涵和边界,并在业务过程中动态优化。对于所有的行业、企业来说,依据3个原则去定义:(1)保企业的主要增长、收入领域;(2)保核心竞争力领域;(3)保竞争最激烈的领域。所有的企业,最终都离不开增长和收入,企业所有工作都必须在短期或长期保护企业经营业绩的增长,信息安全工作也不例外。
第三,找到合适的既懂业务、又懂安全的人,作为业务和安全团队之间的桥梁,以帮助安全团队理解业务并最终通过恰当的管理和技术手段帮助业务。如果实在找不到这样的人,要么就培养安全团队的人懂业务,要么就建立安全和业务的沟通机制、提升互相理解和互相支持的速度。最终达到的效果不但是安全团队的人非常懂业务、知道哪里可能有风险、应该采取什么措施,而且安全团队的人要能够形成自己的独立判断能力和预判能力,而不只是对业务的要求唯唯诺诺。这个地方其实非常考验CSO,因为每个行业的专业知识其实都是有学习周期和学习成本的,想在1、2个月内快速掌握一个新行业是不太可能的。
第四,找到并落实恰当的风险控制点。风险控制点可以在流程中,可以在技术环节,可以是一个可靠的人。比如
·      
公司所有的流程文件、制度发布前必须经过信息安全的评审和会签,确保其符合安全要求;
·      
办公、研发用终端在交付用户使用之前,流程上必须经过IT装机;IT装机采用了自动化手段,装机模版所使用的镜像经过信息安全定期检查,保证配置合规;
·      
对互联网发布的业务功能,在发布之前必须经过源代码扫描和安全工具的配置检查,合规后才可以部署上线;
·      
项目招标文件尤其是报价表在公司内打印时,必须有项目组项目经理和项目安全管理员双人在场监督、并填写监督记录表,确保报价不会泄露;
6.     
人员意识提升
(1)为什么要如此重视人员意识?如何提升人员意识?
人是信息安全中的重要一环,甚至是最重要的一环。尤其是无法用技术、工具解决所有信息安全风险的企业环境,人的重要性就凸显而至。无论信息安全的成熟度发展到哪个阶段,人员意识提升都是必须持续开展、坚决投入资源做的事情。也不要把人员意识提升简单地等同于培训。具体请参见我之前发表的“我眼中的信息安全意识教育体系”。
(2)安全事件、奖惩机制在提升人员意识中的重要作用
有过企业内训经验的安全人员都会有这个体验:在做信息安全培训的时候,讲项目、讲理论、讲要求的时候听众总是索然无味,一旦开始讲故事、讲身边发生的信息安全事件,听众就会瞳孔放大、全神贯注。为啥?因为人的天性就是喜欢听故事,听生动有趣的故事。这里就讲到第二篇里面的“驱动方式”了,事件驱动的安全教育方式在企业里面一定不能缺少,而且要不间断地运用。
同理,我观察到,大约90%的员工对于信息安全处罚(尤其是全公司公布的处罚)往往反应强烈,会表达关注、关注对自己后续操作的影响;对于信息安全奖励,只有当额度较大的时候才会表达关注,而小额度的信息安全奖励似乎精神激励的性质更加显著。根据企业的实际情况,运用好奖惩机制也会很好的提升人员意识。
7.     
审计、运营和改进
终于轮到PDCA里面的C和A了。
审计人员的职责是及时发现信息安全工作过程和效果中存在的问题,并通过安全组织的运作,推动问题的解决、信息安全风险的有效控制,属于事后措施。运营人员的职责是通过工具和控制措施(比如流程)的执行,纠正业务发生过程中的风险和问题,属于事中措施。说的通俗一点,制订的安全策略有人在执行、负责过程中的改进,属于“运营”;检查安全策略有没有被执行、执行效果好不好,则属于“审计”。两者都属于纠正预防措施,且最终保障PDCA形成闭环,运转好的话,可以形成螺旋式上升。
常见的“信息安全审计”包括(1)访谈和走查为主要形式的内部检查;(2)渗透测试;(3)后台安全工具审计或运营;(4)外审。常见的“信息安全运营”包括(1)信息安全防护工具的使用、问题处理;(2)信息安全事件的响应和处理;(3)业务流程中的信息安全审核、检查;
运营过程中发现的问题,运营人员可能就会及时处理、关闭;审计过程中发现的问题,往往不应该是审计人员负责解决,但审计人员有责任跟踪到底、确保这些问题按照组织要求被关闭。这时,CSO应打通团队内部流程,把运营、审计中发现的重大或共性问题及时反馈到Policy端,组织改进、实现纠正预防。这样才能实现完备、及时的闭环。
8.     
如何运转体系中的这些要素?
以上描述的这些要素,并非要一股脑一起上,体系的建立和完善是一个循序渐进的过程,节奏要看企业的实际情况。这里提我的一些思路供参考
(1)首先抓IT基础设施建设,开展人员意识教育,抓1-2个审计工具在手中;
原因:人员意识不可少,从无到有做起来;有审计工具在手,就可以有效地发现信息安全事件,进而以事件驱动信息安全建设;IT基础设施应该最早开始抓,因为IT架构对信息安全架构的影响太大,越早介入越好。
(2)然后抓IT基础设施的完善,同步完善防护类措施和审计类措施;
原因:IT基础设施的完善需要至少3年时间,所以需要持续开展;安全意识教育也要持续开展,就不赘述了;事件驱动后就要开始防护类工作;
(3)然后建立信息安全文件体系,建立信息安全管理员队伍,开展审计和运营;
               原因:IT基础设施及其措施已经有雏形之后,就可以开始建立文件体系了,这样才能把安全的框架搭好;部署安全工具、制订安全策略之后就要立即开始审计和运营,保证每一个工具和策略是有效果的;组建安全管理员队伍,以便在业务一线形成影响力,同时了解和熟悉业务;
(4)介入到业务安全,在业务端发挥更大的价值
原因:信息安全的架构、基础设施和安全组织已经基本就绪,就需要在业务端发挥更大的价值。


CSO怎么做(7)信息安全、大安全与合规


本来这一篇的标题是“如何满足信息安全合规要求”,但是2018年发生的一些事情让我重新审视这个话题,并且根据与一些同行的交流发现,很多中小企业主其实对于信息安全应该干什么、不干什么其实并不清晰,因此我修改了本篇的话题内容,并提前来聊聊这个内容。

一、“大安全”的由来

很幸运的是,我在前后几家公司里面负责信息安全工作的时候,所在部门都是与IT分开的,向不同的领导汇报。这种局面让自己很早就摆脱了“安全=IT”的印象,但反而陷入了另一个误区,“信息安全部”=“安全部”。于是很多主管、员工甚至CXO就有这样的诉求:
  • 公司的保安你们管不管啊?要是有外人出入不受管控,安全上很容易出事啊!
  • 安全部门你们要管管盗版软件哪,软件还得用,但是不能太过分,会被人找麻烦的。
  • 现在外面各种个人信息满天飞,员工的个人信息、个人数据你们要看好啊,不然被骗、被骚扰是很麻烦的事情。
  • 你们认识不认识黑客?我有个QQ号被盗了,能不能帮我找回来?
  • 我们有个主管涉嫌搞小三,他岗位比较敏感、不能出事,但没有证据、我们又不好直接找他谈话,你们能不能黑进他手机,帮公司查一下?
  • 公司有笔业务做成了,销售给客户送了点钱表示感谢。但是送钱这事儿不能落下把柄,你去查查有没有落下什么证据,如果有赶紧去删除了。
以上是我和其他一些安全从业人员身上真实发生过的事情,刚开始的时候真的是哭笑不得。慢慢的我就开始思考为什么会这样?2018年中兴被美国公司制裁,圈内就有争论,说中兴的安全团队是不是要为这些事情负责?也引发了我的思考。我觉得大体有如下几个原因吧:
  • 信息安全的英文是Information Security,而同样中文名、但内涵完全不一样的一个单词叫“Safety”,确实容易给人造成混淆。你还真不能指望每个老板都懂这些差异。
  • 老板是需要有人看家护院的,所以必然有“大安全”的诉求,说到底就是“不出大事、出事打的赢”。公司有事儿,得有人管哪,“安全部”不管、谁管?
  • 国内有些事务,现在意识、法规和执行都还不完善,确实有一些灰色地带。再加上信息安全有时确实会有一些强力的管控和审计工具,而且既懂攻、也懂防,让人觉得神秘又专业,不找你找谁?
所以呐,读者在回顾“我眼中的信息安全意识教育体系”时候,一定要记得:对老板的教育是持之以恒的的工作,不可松懈。

二、CSO可能面临哪些“大安全”的诉求?

基于过往的经验和认知,总结了一下。不一定完整和恰当,还欢迎各位读者指正、补充。
1、遵守国家或地区颁布的强制性法律法规。如中国政府颁布的《网络安全法》,公安部颁布的重要、基础行业必须要遵守的《等保》。
2、遵守行业规范或标准,如
(1)工信部颁布的对电信运营商、互联网服务提供商的《电信和互联网用户个人信息保护规定》。这几年由于监管检查到位,基本没有灰色地带。
(2)银监会证监会颁布的各类行业信息安全规范,属于强制性要求。由于监管检查到位,基本没有灰色地带。
(3)在研发过程中使用开源软件模块,所必须遵守的GPL、BSD、LGPL等开源软件协议;以及可能附带的灰色要求,比如某些情况下不遵守开源协议要求、又不想被发现。
3、遵守与合作伙伴、供应商签署的商业合同中的条款,如;
(1)购买或使用商业软件、授权软件时,所必须遵守的软件协议要求,俗称“软件正版化”;以及可能附带的灰色要求,比如实在无力购买、导致某些软件的使用数量远远大于授权数量,又不想被发现。
(2)使用供应商、合作伙伴提供的零部件、技术时,必须采取措施保护他们的知识产权、商业秘密;以及可能附带的灰色要求,比如可能违反规定将零部件、技术提供给非授权客户使用,又不想被发现。
4、各种ISO管理标准、体系中附带的信息安全要求。标准太多,我也不全知道,就不献丑了。
5、如果是上市公司,还要遵循上市监管要求当中所包含的信息安全要求。比如著名的SOX法案,比如中国证监会对于上市公司要求的信息披露要求、内控要求。
6、管理企业的物理安全,包括人员、物品出入管控,物理区域隔离、监控与巡查,物理安全设备系统的维护、运营,保安队伍的管理。
7、保护员工个人信息:公司员工的个人信息在企业内外部流转时所要遵循的保护要求。
8、应对灰色业务的需求
(1)比如想给客户一点感谢费(说难听点就是行贿了),但是资金得从公司出、出去之前要领导审批,怎么保证财务对账记录完整、资金安全到达但是又不落下把柄和证据?
(2)比如企业在市场竞争中总要搜集竞争对手的情报吧?虽说80%的情报来源于公开信息,但总有20%的情报来源于非公开信息(比如翻竞争对手的垃圾箱),怎么做既能获得情报、在企业内部合理流转共享,又不留下非法搜集情报的把柄,甚至于不泄漏情报的源头?
还记得我们在前面篇章中提出的“业务安全”的概念吗?“业务安全就是让业务平平安安地赚钱”,这两个似乎也可以列入“业务安全”范畴啊!怎么办?
9、产品安全:使得公司对客户、合作伙伴提供的产品、服务满足机密性、完整性、可用性、可追溯性、合规性的要求。
10、对于公司员工个人情况的调查。比如调查员工。

三、如何应对这些“大安全”的诉求?

看到这些问题,真的很头疼。一方面是我们的专业诉求、职业操守,一方面是老板要求、企业经营中的现实需求,怎么办?给点我的建议,不一定恰当,大家共同探讨。
1.基本态度
对安全团队价值直接影响的范畴,义不容辞;与安全团队价值相关的范畴,合作共赢;灰色地带,有限介入;完全无关的,尽量拒绝。具体怎么做?
2.义不容辞的领域
在“如何设计一个企业的信息安全目标和路线图”篇章中,已经提到了如下的信息安全合规要求,我认为属于义不容辞的领域。再重申如下:包括(1)国家或地区颁布的强制性法律法规(如中国政府颁布的《网络安全法》);(2)行业规范或标准(如工信部颁布的对电信运营商、互联网服务提供商的《电信和互联网用户个人信息保护规定》;(3)与企业客户、供应商签署的商业合同中的信息安全条款;(4)各种ISO管理标准、体系中附带的信息安全要求;(5)如果是上市公司,还要遵循上市监管要求当中所包含的信息安全要求;
3.合作共赢的领域
这些领域“做得好会产生正面影响、做的不好会有严重负面影响,而且需要持续投入”,建议明确责任部门,支持、配合他们保障企业不出事。
(1)对于企业物理安全的管理,一般不建议抓在CSO手中,因为繁杂事务太多,一旦你牵扯进去,估计就没有精力管好信息安全事务了。建议交给行政、总务部门,与他们建立良好的合作关系,可以共同制订标准、共同检查,在一些重大项目中参与评审。
(2)遵守开源协议的要求:一般建议把这个决策和管理职责交给业务部门、法务部门或合规部门。安全部门可以帮助他们寻找、部署、运维工具,甚至一起优化工具的使用。
(3)遵守软件正版化要求:一般建议把这个决策和管理职责交给业务部门、法务部门或合规部门。安全部门、IT部门使用的桌面管理工具一般都会有这个管理功能,将之提供给给负责部门,提供好工具、数据上的支撑。
(4)产品安全:这个尺度好难把握。产品安全团队的人员技能和信息安全团队的人员技能估计有至少90%是重合的,所以能力强的CSO你就收了吧,如果不想干的话、提供技能支持、知识交流、供应商资源的支持还是必要的,毕竟是公司整体受益嘛。
4.有限介入的领域
这些基本都是在合规方面存在争议的领域。国内这些年在这些领域已经取得了长足的进步,至少在认知上已经从“不知道”到了“知道、比较重视”的地步。但在科技研发型企业看来,合规治理说到底就是拼资源、拼投入,但合规的投入真的太大、而且看不到直接成效,所以现实世界中不可避免地存在灰色地带。那么CSO遇到这种情况怎么办?
(1)对于遵守开源协议方面可能产生的灰色要求,建议由法务部门、合规部门和老板一起做出决策。这个过程中,安全部门可以参与制订尽可能合规的技术方案,但不负主要责任。
(2)对于企业内部“软件正版化”可能产生的灰色要求,建议由法务部门、合规部门和老板一起做出决策。这个过程中,安全部门可以提供工具、提供数据,但不负主要责任、也不要提供决策建议。软件正版化在国内还有很长的路要走,尤其对于中小企业来说,我个人认为可以允许一定的灰度存在。
(3)对于竞争情报获取、加工、分享链条中的安全保密需求。建议安全部门仅参与加工、分享环节的风险防范措施,可以给予技术指导、参与制订合规方案,仅此有限介入就可以了。千万不要参与获取环节的违规操作(比如直接去扒竞争对手的垃圾箱),我觉得这是底线,一定要记住“要想人不知、除非己莫为”。当然,获取环节的合规操作(比如通过互联网公开信息渠道获得竞争对手信息)是没有问题的。
(4)企业内部管理时,多少都掌握了一些员工个人信息,尤其是HR,安全部门应督促HR尽可能用IT系统保管、流转员工个人信息、并将系统纳入保护范围;同时CSO在内部提升员工意识的时候,也可以多多引用保护个人信息的案例和方法,两者有较多相同性。
5.尽量拒绝的领域
(1)对于公司员工个人情况的调查。如我上面举出的例子。直接拒绝就可以了,任何可能违法的操作都不要介入,这是底线。同时,公司里面这些事情有时候会有办公室政治的嫌疑,与其被人当枪使,还不如干干净净、不偏不倚做个专业人。
(2)对于企业内部可能存在的其他违规操作(比如可能违反规定将零部件、技术提供给非授权客户使用,又不想被发现;比如要给客户送感谢费,又不想留下证据),很多人都美其名曰“灰色操作”,其实就是没有被发现的违规操作。如果老板希望安全部门参与此事,一定要严词拒绝,因为首先这是负民事或刑事责任的违法行为,其次一定要记住“要想人不知、除非己莫为”,这年头根本没有不透风的墙!这根本不是灰色操作,这是赤裸裸的黑色操作。万一将来出事了、让安全背锅怎么办?CSO背不起这个锅啊!

四、信息安全与合规团队的关系

从上面的描述来看,CSO面临“大安全”的诉求时,有好几类领域应该寻求合规团队的支持(如果没有合规团队,找法务团队就可以了),或者这么说:这类业务都应该由合规团队牵头负责制订业务规则,而安全部门可以提供必要的技术支持。因此,安全部门和合规团队的密切合作是不可缺少的,这样既帮助公司控制了违规风险,也帮助自己减少了不必要的工作量,这种运作方式是我认为比较恰当的。





CSO怎么做(8)数据防泄漏的体系应该如何运作?


前面几张拉拉杂杂说的都是“七分管理”,该谈点“三分技术”的正事了吧?如果你真的这么想,那赶紧再回去仔细看前面几章,修炼差不多了再来看这章:)
一、从“文档安全”、“数据防泄漏”到“数据安全”
信息安全思想和技术发展至今,现在为互联网、金融界乃至主管部门所广泛接受的“数据安全”,在十几年前并不是这样的,那个时候基本都说“文档安全”,因为有保护价值的信息资产都还是文档为主,大家都在看如何保护文档的机密性;慢慢地思想和技术开始进步,出现了“数据防泄漏”(Data Loss Prevention, DLP)的理念、技术和产品,将保护的对象扩展到分布在终端、网络和存储介质的各类电子化信息,比文档安全进步了许多、但总体上仍偏重对静态数据的保护;慢慢地,大家发现无论文档还是电子化信息都是流动的,DLP的概念不满足实际业务需求,还是“数据安全”似乎更加全面和准确,既兼顾完整性和保密性,又覆盖静态信息和动态数据流,于是这个概念在各类产品、会议上得以大肆宣扬,并得到广泛认同。
本章暂时不讨论这些概念之间的差异。从我个人的工作经验来说,很大比重还是在保护各类信息的机密性,因此本章还是着重讨论数据防泄漏的体系如何运作,包括建立和运营。同时,概念定义上,“防泄漏”强调机密性的保护,“数据”包括需要保护的电子信息和纸件信息,电子信息包括静态和流动的信息;“数据”不仅包括结构化信息,还包括非结构化信息。

二、如何建立和运营数据防泄漏的体系
1、定义数据防泄漏的价值和目标
对于绝大多数中小企业和科技创新型企业来说,“数据防泄漏”可能就是“信息安全”工作的全部内容了。所以,首先必须明确数据防泄漏工作的价值和目标,让老板、团队和CSO明白“为什么而战”,并且树立具体、明确和量化的目标。否则,CSO后续的工作可能就只是学习别人的做法、堆砌产品和技术,却始终不知道帮助企业解决了什么问题、提供了什么价值。

2、信息资产分类分级
几乎每个公司推行ISO27001的时候,都会提到信息资产分类分级。对于绝大多数中小企业和科技创新型企业来说,这个过程依然适用,而且意义重大、不能省略。其好处在于
(1)可以识别企业内真正有价值的信息资产、应该保护保护的信息资产;
(2)与管理层、业务代表在信息资产的识别上达成共识,避免在后续操作上形成分歧;
(3)与管理层、业务代表、主管形成统一的用词,就词汇的涵义达成一致;
什么叫信息资产、包括哪些信息资产,不再赘述。为便于理解,仅在本章中把“信息资产”等同于“数据资产”。
信息资产的分类分级不是一蹴而就,往往要经过3-4轮才能达到如上效果。所以分类分级之后,一定要持续去用,在使用过程中发现问题;CSO和团队要有足够的耐心,并注意在每一轮梳理完毕之后要积累、记录问题清单,并在下一轮梳理中解决这些认知上的问题。这其实也可以算作“提升安全意识”的工作。如果没有人用,CSO一定要安排检查和审计,用问题来驱动使用,不要怕有矛盾、有冲突,冲突和矛盾正是加深理解和认知的极佳机会。
与分类分级相关的,必然有一个分类分级流程(有时候也叫定密流程),这个流程必须要把老板拉进来,让他作为分歧的最终决策者。切记!
这里面还会有一个概念上的理解,关于“有价值资产”和“有保护价值的资产”。记得以前华为的孙颖专门讨论过这个问题,此处不展开,后续慢慢再说。

3、业务流程梳理
按照传统理论,大多数情况下做完信息资产分类分级就进入风险评估阶段,然后就开始迫不及待地制订方案了。完全理解这种心情和做法:问题其实咱们都知道,赶紧开干吧!但是!但是!但是还不够。磨刀不误砍柴工,再耐心一点。
我把这个环节称为“业务流程梳理”。其核心在于理解业务流程,理解信息资产在业务流程中是如何被创建、评审、发布、授权、归档、销毁,在这些业务流程中分别使用了哪些工具、牵涉到哪些人、在哪些环境里面;尤其是跨行政部门的业务流、数据流往往容易被忽视,越是大公司、大机构就越要重视这个问题。还有一个容易被忽视的是“纸件”,因为往往容易将注意力放在电子信息上,纸件的管控也复杂,所以无论是无意还是有意,都会把“纸件”给忽视了。
业务流程的梳理和优化也需要积累和优化,非一线业务人员一般至少需要2-3年才能足够熟悉业务。因此CSO需要在自己的团队里面有业务专家,要么自己培养,要么从业务部门调人过来。对业务的熟悉将可以保证CSO和信息安全团队建立对业务的独立判断力,而不总是被业务部门忽悠,这样做出的风险评估结果才是有价值而专业的。懂业务、懂流程,又能够解决安全风险的人才是真正的专家。
至于如何梳理和理解业务流程,总结下来其实和“外审”的套路基本一致:学培训文档、看文件记录、访谈走查、实地查看,以及在解决实际业务问题的过程中积累。

4、风险评估
这个步骤略,只说一句:这个步骤虽然很学究、但不要省略,静下心来认真做脆弱性分析和风险评估,其实很有价值。

5、设计数据防泄漏的架构和路线图
看过前面几篇的读者应该知道我的风格了,当面对一个复杂问题的时候,我特别喜欢用“架构和路线图”这种套路。所以,数据防泄漏问题的解决,我也喜欢设计一个架构。这里介绍一些基本原则方法。
(1)首先要设立1-2个数据防泄漏的稳定评价指标。通常至少要包括:核心类信息不泄漏、如果泄漏则扣分的扣分项。这个指标应在3-5年内保持稳定,形成数据防泄漏工作的主要目标。对于主要防范内部人员泄密的企业,还有一类评价指标,基本都是“不想偷、不能偷、不敢偷”的变种,择优取之吧。
(2)在业务架构层面上,遵循重点业务优先、逐步渗透其他业务的思路,兼顾重点业务场景和通用业务场景;如果投入有限,毫无疑问应该优先保障“重点业务”“重点业务场景”。
(3)在基础架构层面上,分别从制度流程、人、物理环境、终端、网络、主机、数据库和应用服务几个层面建立安全控制措施,确保“管理和技术两手都要硬”。上面(1)(2)(3)的顺序做下来,比较像ESA的方法论,是我所喜欢的套路。
(4)防护类措施可以阻断事件的发生,审计监控类措施主要用于事后追溯;但多数企业容易忽视的是,如果上了审计监控类措施、却没有足够的运营和审计资源投入,基本就是“掩耳盗铃”。防护、运营、审计和响应的资源投入缺一不可,这样才能保证PDCA的循环转起来。
(5)在防泄漏体系建立初期,应想法设法开展审计和违规打击行为,尤其是对典型的、故意违规行为的打击,强化威慑力,为防护措施争取时间和空间,同时也获得老板和业务主管的认可和支持。这是一种规划驱动和事件驱动结合的方法。
(6)要分析、区别对待不同的业务环境:高度信息化还是基本电子化,甚至是电子化和纸件混杂;主管、员工对于信息防泄漏的重点目标、优先顺序、认知认可是怎样的…耐心和决心缺一不可。有老板支持的时候可以一刀切,自身能力不足时可以灵活变通处理。
(7)数据防泄漏的管控措施往往在落实上和业务的现行做法有冲突,改变则必然面临着阻力,因此除非有充足的理由,否则轻易不改变。但这并不意味着业务的现行流程、做法不可改变,需要机缘、更多的是靠事件驱动。

6、数据防泄漏体系的运营、审计和响应
在建设数据防泄漏体系的过程中,要尤其重视“运营”和“审计”。前文我说过,不少企业都有这样的经历:安全措施上了不少,工具都买了不少,人好像也不少,但是老板就是觉得问题没解决、效果不满意,核心原因就是缺乏运营和审计。其实我以前的工作经验也没有严格区分运营和审计这两类工作,后来也是学习了互联网企业的安全岗位分工,才领会到“运营”的作用,因此我对运营的理解不一定正确,在此抛砖引玉。
“运营”的核心目标是保障已经实施的安全措施达到甚至超过预期的效果。基于以上理解,运营岗位的工作内容一定是有评价指标的,这些评价指标不一定全面覆盖其所有工作内容,也不一定用于对运营岗位人员的个人绩效评价(虽然我倾向用于个人绩效评价)。运营的动作要有一些标准化动作(比如对策略设置的结果进行检查),也要鼓励创造性的动作(比如根据安全工具、数据的分析发现一些异常和问题,并推动解决);运营的动作既要有安全工具健康度的检查(比如某个安全工具的网络设置是否正确、数据接入是否正常),也要有安全工具有效性的检查和优化(比如经过审批之后、在监督之下做某个违规动作,看看安全检查项是否生效)。
“审计”的核心目标是发现是否还有没覆盖到的安全漏洞、是否有未被发现和应对的威胁,常使用检查各类文件、查看各类日志和记录、访谈走查、实地查阅、渗透测试和逆向、监控等多种手段。但是CSO要切记定义好安全团队人员的分工合作流程,确保发现的问题有记录、有分析、有改进,确保从小问题中发现的系统性、流程性的风险得到解决,使得“运营”和“审计”最终回归到PDCA这个路径中来,形成闭环、形成提升。基于这种管理思想,有的企业会要求审计人员不但发现漏洞和威胁,还要持续跟踪、直到漏洞或威胁被解决为止。
“响应”在科技创新型企业里面的重要性没有那么突出,大多数情况下在发生严重普遍的系统漏洞或者互联网威胁才会运用。针对这类事件,建议要有预案,从人员组成、工作流程、工具权限、具体操作的培训等方面做好准备。如果涉嫌发生严重的数据泄露事件,要从信息分析和危害评估、证据获取和固定方面入手,做严谨、充分的分析和推理。
“运营”、“审计”和“响应”岗位对人员能力的要求都比较高,因此CSO应建立机制、形成运营、审计、响应的经验、方法、工具、流程的沉淀,使得这些工作尽可能减少对人的依赖,尽可能减少人员流动对组织的影响。话说回来,上面这段话好像对无论哪个团队都适用。

三、数据防泄漏的外部环境
本段落仅根据自己的经验认知来总结描述,可能有认知偏颇之处。说的不对的地方,请多指教。
因为长期在科技创新型企业工作,与诸多同行交流下来经常觉得无力吐槽。市面上绝大多数用于数据防泄漏的产品,不仅对于“数据安全”的理解都是不一样的,而且严重缺乏对于国内科技创新型企业场景和需求的理解;绝大多数产品不是立足于客户需求,而是立足于产品研发团队的出身和技术能力。导致的局面是,一个企业往往需要2-3个产品才能把数据防泄漏的架构拼凑起来,并且投入较多的资源来解决运营、审计、响应、兼容性、用户体验的冲突。很期待乙方的安全产品能够迅速做出改变。
同时,由于国内外法制环境的差异,长期以来对于国内科技创新型企业的商业秘密、知识产权的保护力度偏弱,所以企业开展信息防泄漏工作的时候、对于内部员工的行为普遍持“不信任”观点,导致需要和各种可能的、无底线的恶意行为进行对抗,于是老板们经常发现“这也防不住”“那也阻止不了”“你防来防去,员工拍个照不就出去了”,就会产生一个普遍的质疑:“CSO的工作没啥用啊”。同时,企业如果一旦发现涉嫌泄密行为之后,想寻求法律武器进行打击的时候,成本也特别高。在此想特别呼吁一下,有关部门能够改变现有的立法、执法标准,降低企业维权成本,显著抬高违法行为的成本,我觉得这才是“保护创新”的最有效之路。
本来还想写一个段落,点评一下市面上的数据防泄漏产品和技术、总结一下实施中遇到的各种坑,考虑下来觉得可能更适合做分享交流,因此暂不写了吧。后面有机会再交流。























No comments: