在“百家争鸣”的时代,企业如何实现网络安全的价值?保证2.0”

原标题:在“百校其他保障2.0”时代,企业如何实现网络安全的价值

“百家”既是“百家”又是“百花齐放”。他们是来自各行各业的网络安全专家:民间社会组织、业内大人物、权威代表以及在网络安全前线战斗的从业者、思想家和共享者。安在“百所学校”,最佳实践,敏锐的判断力,思想的火花,期待有你!

作者简介

王浩远·

甜橙财务信息安全管理经理

他在信息技术服务管理和信息安全方面有5年的研究和实践经验。他主要从事信息安全风险评估、信息安全管理系统的建立和实施、信息安全规划、信息技术审计等方面的工作。他在信息安全风险评估和信息安全管理咨询方面有实践经验。目前,主要专业领域集中在信息安全管理、信息安全审计、等级保护等方面。

随着平等保护2.0时代的到来,随着云计算、物联网、移动互联、大数据、工业控制系统、区块链、5G等新技术的快速发展。,网络安全建设的重要性日益突出。平等保护2.0标准逐渐从平等保护1.0被动防御安全体系转变为事前预防、过程响应、事后审计的动态保护体系,注重全方位主动防御、安全可信度、动态感知、全面审计。如何利用现有的安全防护技术来增强企业的网络安全防护能力,体现网络安全的价值,已经逐渐成为企业关注的问题。

展开全文

1

了解网络安全的价值

要分析和探讨网络安全对企业的价值,首先必须明确企业的价值目标。企业价值最大化是公司经营的最高纲领。它满足了用户的需求,扩大了市场份额,加强了与供应商的伙伴关系,缩短了产品研发周期,增强了员工的使命感。所有这些都是为了一个目的,即使公司的价值最大化。企业价值最大化包括两个含义。一是财务角度,即获取尽可能多的利润。另一个是战略观点,即获得足够的发展动力,获得持久的盈利能力,获得足够的声誉和赞誉。企业最高管理层的责任是在公司价值最大化的过程中创建一个强大的机制,使公司拥有“智慧”和“长寿”。

网络安全价值作为企业价值的重要组成部分,也存在于两个方面:一是通过提高网络安全风险控制能力,保护用户和企业信息的机密性、完整性和真实性,实现网络安全本身的价值;第二,通过提高网络安全工作的效率和可靠性,支持企业在业务创新、财务收入、管理效率和用户体验方面实现应有的商业价值。

2

网络安全价值的实现

网络安全价值的实现在于明确网络安全目标和主要工作任务,确保网络安全目标与业务目标一致,从工作任务的紧迫性、可执行性、实施难度和预期效果四个角度进行综合分析,制定任务优先级和实施计划,提高网络安全工作的合规性、全面性、预见性和可执行性,确保相关资源和投资的合理配置。实现网络安全价值的过程可以理解为规划和实施网络安全建设的过程。网络安全管理通常可以分为以下活动:

图1网络安全管理活动

2.1库姆斯网络安全驱动程序

网络安全驱动程序可归纳为以下三个来源:

1)[商业发展/S2/]

从业务发展的角度出发,分析用户及其在业务运营中的安全需求,以确保个人隐私和业务利益信息在通过网络传输时得到安全保护。从信息技术战略的角度来看,随着互联网的蓬勃发展,信息技术战略的支撑作用更加迫切和明显。构建网络安全体系,应充分考虑信息技术战略发展规划。

2)[风险事件/S2/]

风险事件是推动网络安全建设的重要因素之一。风险评估是确定网络安全驱动因素的最重要方法。风险评估的结果反映了企业最真实的安全状况。通过对企业管理风险和技术风险的综合评估,可以分析和确定具体的安全需求。

3)法规遵从性

与网络安全相关的法律法规是企业的强制性要求,如《网络安全法》、《知识产权法》。与此同时,符合国际国内标准、行业监管标准和企业内部系统要求也是网络安全的驱动因素,应将其识别并转化为信息安全要求。

图2网络安全驱动程序

2.2

明确网络安全控制目标

网络安全控制的目标是实现网络安全价值的核心,为未来的网络安全工作指明了方向。网络安全的目标来自于网络安全的驱动因素和未来可预见的网络安全需求。网络安全管理体系建设需要逐步不断完善。为了跟上企业信息化建设的步伐,网络安全能力建设可以逐步进行并分阶段实施。

总体短期目标可以是在企业总体网络安全政策和业务战略目标的指导下,初步建立网络安全管理体系,满足安全监管和合规性的要求,为业务系统提供更可靠的保障;中长期目标可以深化网络安全管理体系建设,完善网络安全控制体系,实现有效的资源协调,为业务活动提供可靠的支持,在三到五年内实现应用系统和安全系统的全面集成。在此基础上,我们可以继续制定未来的安全建设目标,构建适应性的安全体系,加强企业风险控制,为业务提供有效支持,并与其他信息技术控制系统整合,提供更好的信息技术价值和控制。

图3阶段设计

在互联网大数据时代,随着信息的膨胀和数据的爆炸,企业的安全边界进一步模糊甚至消失,完善的防御是不可能的。企业需要假设自己已经受到攻击,不断监控和分析企业的安全状况,通过风险分析、攻击防御、入侵检测和回溯分析四个步骤进行风险处置,以适应各种类型的攻击和各阶段的攻击,建立适应攻击发展和业务发展的自适应安全系统。

图4自适应安全系统

2.3

确定网络安全的主要任务

1)风险识别

根据平等保护2.0标准、网络安全法的相关规定和相关监管要求,对企业网络安全管理现状进行安全风险评估,全面识别存在的安全风险。

2)任务识别

参考企业的网络安全需求和利益相关者的意见,对识别的安全风险提出具体的改进措施,定义相应的实施任务,形成网络安全任务和风险点的映射表及安全任务列表。

3)物品识别

根据以上网络安全任务列表,可以从人员、管理和技术三个维度整合相关任务,形成相应的人员规划、管理咨询和技术工程实施项目组。

2.4

制定网络安全任务计划

网络安全任务的规划应遵循合规性、一致性、前瞻性、适用性、渐进性和成本效益六项原则,并确定安全工作的分阶段部署。根据网络安全任务的识别结果,综合考虑紧迫性、可执行性、难度、预期效果等维度,可以建立网络安全规划任务的综合分析模型。对每个因素进行评分,定量计算每个任务的优先级,从而确定相应项目的实施优先级,建立安全规划项目路线图,实施关键实施策略,确保规划项目的实施。

图5任务计划分解

2.5

实现网络安全阶段的目标

通过项目组合或项目集,实现分阶段的网络安全目标:通过人员规划项目,优化安全管理的组织结构,提高人员的技能和素质,加强对人员绩效的监控和评价;通过管理咨询项目优化管理流程,加强内部控制,提高信息安全综合控制水平;通过技术工程项目,购买和部署必要的设备和平台,更好地实施信息安全管理措施,提高工作效率。基于不同阶段目标的实现,相应的价值回报可以作为下一阶段安全目标优化和安全规划调整的依据。

2.6

提升网络安全能力的产出

在网络安全建设过程中,积累实施经验,通过为同行业提供安全咨询服务,或出口安全产品和技术支持等支持服务,获取回报,促进网络安全价值最大化。

3

实现网络安全价值的关键因素

3.1

服务驱动的

网络安全建设的最终目标是为业务发展提供支持和保障,因此网络安全任务的实施必须从业务的角度出发,而不仅仅是作为一项技术任务。在实施过程中,必须始终考虑业务需求,并且必须在业务开发的安全性和便利性之间找到平衡点。同时,业务部门必须提高对网络安全工作的认识和理解,在实施网络安全规划过程中获得业务部门的支持和配合,共同推进网络安全规划的实施,真正实现网络安全为业务服务。

3.2

高级别支持

网络安全规划的实施通常涉及企业各部门的参与、合作甚至利益关系。因此,在实施过程中,需要企业的高层支持,甚至参与协调各部门之间的关系,建立跨部门合作机制,确保项目的顺利实施。

3.3

有效的实施管理和监测

网络安全规划的实施通常涉及几十个任务/子任务,其中一些任务/子任务的实施时间跨度长,投资大,存在一定的依赖关系,对企业来说是一大挑战。为了获得最大的施工效益,最大限度地降低风险,有必要实施强有力的实施管理和监控措施。在跟踪总体计划的同时,必须合理安排各项任务的进度和资源,加强对各项任务/子任务的管理和监控。对于关键任务,要有专门的安全人员全程参与,及时掌握任务的执行情况,并根据企业信息化建设情况及时调整。

3.4

长期可靠的合作伙伴

网络安全规划和实施的任务通常涵盖广泛,涉及许多专业技术和产品。有必要借鉴网络安全的相关法律法规、监管要求、国内外标准和最佳实践理念。充分结合企业内部网络安全的具体需求,根据企业自身的网络安全风险管理能力选择好的合作伙伴,确保网络安全建设的成功实施也很重要。通过长期可靠的合作,我们将迅速引进外部专业资源和先进技术,帮助企业推进信息安全建设。

4

网络安全价值评估

要衡量网络安全的价值,最重要的是获得用户(内部用户或外部客户)的认可。同时,要评价网络安全的价值,就应该评价网络安全建设是否总是围绕企业的核心目标开展相关工作。根据以上对网络安全价值实现情况的分析,提出以下思路和建议,供网络安全价值评估时参考。

4.1

需求管理流程的评估

确定企业的经营战略、业务发展需求和相关的安全合规要求是否得到有效的收集、总结和细化;判断业务需求是否明确传达给网络安全管理部门,网络安全管理部门根据成本和质量的原则,充分考虑业务需求和合规性要求,完成相应的安全管理和建设规划,高效开展安全运营或安全建设活动。

4.2

网络安全建设投资绩效评价

1)商业示范和可行性研究

提出网络安全建设项目建议书时,应当进行商业论证,确保所提出的项目符合企业发展战略和信息技术规划的要求,在业务适宜性、技术可行性、财务可行性、结构适宜性、风险可控性、合规性等方面符合企业管理体系和规范的要求。

2)网络安全资源分配

从服务业务需求和满足安全合规性的角度出发,规划网络安全技术和资源的获取方式,建立并确定合理的网络安全建设方法和规模,通过自主开发、服务采购、内外外包结合等方式获取合适的网络安全技术和资源。,从而实现对安全产品和服务的自主控制,实现预期的网络安全价值收益。

3)网络安全投资管理

规范网络安全项目的预算管理、会计管理、成本分配和管理控制流程,明确相关部门在网络安全投资管理过程中的职责和分工,建立配套的组织结构和工作流程,确保网络投资全过程管理的实现;通过投资组合的方式,建立管理网络安全投资的量化指标,衡量安全技术给企业带来的业务价值,从业务价值的角度管理重大项目交付和资源配置。

4.3

网络安全支持业务能力评估

企业网络安全建设中最重要的是为用户和企业信息提供安全保护,确保企业安全稳定运行。网络安全价值的评估应基于从业务覆盖面、用户(内部和外部)体验、风险控制和隐私信息保护等维度进行的满意度调查。同时,应从系统可靠性和可维护性的角度对网络安全系统进行评估。

4.4

网络安全支持服务创新能力评估

网络安全的价值不仅在于支持当前企业的建设和运营,还在于支持未来企业的发展和转型。这对技术和业务处于创新前沿的金融机构尤为重要。新的业务场景需要新的网络安全防护能力的支持,企业应该开始在新的技术环境下培养网络安全防护能力。当前的网络安全管理团队是否具备这种能力可以从快速战略决策、有效需求控制、快速项目实施、系统部署和服务以及适应性网络安全等方面进行评估。

5

结论意见

网络安全建设不是静态的,而是会随着企业的业务发展、外部环境和监管环境的变化而产生不确定性。网络安全管理部门应始终围绕企业核心目标开展相关工作,有效降低业务风险,最大化网络安全价值。回到搜狐看更多

负责任的编辑:

  原文链接:https://caizhucemzt.cn/post/19.html

相关文章

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

站点地图91彩站联盟 全民彩票技巧 易富彩彩票导航 速腾娱乐 256彩票 保时捷彩票 rjdd.netfuyoudl.comchunshanyuan.com0598xy.comdlywxx.comwoaimeizi.comnimaboke.comlw-sh.comnotebook.billcai.cncontact.caipiaozhunapp.cnnetmon.image1cai.cndk.2020ercaipiao.cnadvantage.2aocaipiao.cn