企业网络安全最佳实践指南(二)

admin管理员组

文章数量:1570208

第一部分 网络安全管理篇

首先是网络安全管理部分。正所谓“三分技术、七分管理”，且不论这“三”和“七”的科学合理性，单从字面上就可以看出管理的重要性。管理是脑，技术是手，脑支配手，手配合脑。所以先将网络安全管理相关内容进行呈现。

网络安全管理体系侧重于从管理维度，在网络安全相关法律、法规控制下，制定网络安全整体的战略规划，对网络安全实际工作进行战略指导。配合战略落地，在管理方面的实际工作主要有标准化工作流程、风险管控、应急管理、网络安全重保、安全培训以及计划管理、监督实施等内容。管理工作的主要任务是提供支持、做好服务保障，确保技术实施畅通无阻，同时又能规避管理风险，同时通过标准化、流程化的工作程序规定，也可以有效地降低安全风险，配合相关管控措施和应急手册等，不断地提高网络安全的工作效率，降低人为出错率。

一、网络安全战略定位和组织架构

想要做好企业网络安全，顺利实施企业网络安全的建设，第一步就是要找准定位，明确网络安全在企业经营活动中的战略定位。这个往往取决于企业高层管理者对网络安全的认识程度。所以作为网络安全工程师、或是CSO（实际上大多数企业没这个首席安全官CSO的岗位），一定首要向企业高层灌输网络安全的思想，提高管理者对网络安全的管理意识和认识高度。除了自己积极推动外，引进专业、权威的第三方网络安全机构（如等保测评公司、咨询公司、网络安全公司等）或网络安全监督检查机构（上级监管单位、网警、网信办等），对高层进行访谈，也不失为一种高效之策。很多时候，网络安全工程师跟企业高层管理者之间还有一层IT管理者，而安全出身的IT管理者、CIO/CTO非常非常少，所以网络安全工程师迈开腿的前提是做通IT管理者的工作。

分享一个小经验，怎么快速且有效的向IT管理者、企业高层领导灌输网络安全思想、提高安全意识？答案是“重要活动的网络安全保障”，非常行之有效。例如上合峰会的企业网络安全保障、国庆七十周年的企业网络安全保障等，尤其是一些中大型企业或国企事业单位，重保期间的网络安全工作要求往往是由上级监管单位、网安、国安、网信办等直接下达企业网络安全检查通知或整改通知，很多时候需要企业一把手签字确认，这个时候，网络安全的工作往往不只是IT任务，更多的被赋予了政治使命的色彩，此时必是最好的契机。

实际上，在向上（面向领导，首要进行）和向下（面向全员，次要进行）普及网络安全，找准网络安全战略定位的同时，还需配套相应的网络安全战略规划。战略规划往往是提纲挈领，精炼简短的指导思想。虽说简短，但并不好准确提炼。企业的网络安全战略一定要紧随配合企业的经营战略，不可与之有违逆之处，应积极帮助企业经营规避网络安全风险，保障企业经营活动的正常进行。作为企业经营战略的组成部分之一，由于企业网络安全在大多数企业的经营活动中，往往是处于一种保障单位，前期预防、中期保障、后期处理，所以企业的网络安全战略更多的时候是为企业经营战略提供保障。当然，战略规划的制定和战略定位，都是为了企业网络安全工作的开展提供重要铺垫，取得上层支持、经营支持，此阶段可以理解为请圣旨。

“圣旨到，活来了”接下来要找人干活了。对，要进行企业网络安全的组织架构设计了。秉承着制定网络安全战略的思想，要先取得领导层的认可。建立企业网络安全领导小组（或企业网络安全委员会）是一种不错的选择。随着网络安全相关法律法规的普及，企业一把手作为企业网络安全的主体责任者，已经成为必须，故企业网络安全领导小组的组长位置，绝大多数情况下，非CEO或大老板莫属。有了一把手做组长这一王牌，领导小组的其他成员，基本上可以拉上公司的高管、各部门的总经理了。且不管这些领导们对网络安全到底认识多少，有了领导层面的组织保障，在各部门进行网络安全工作便可顺畅的多。

接下来是网络安全团队的建设，团队建设多偏IT成员，是真正的进行网络安全实际工作的。这里注意下，有一些公司是由专门的安全部门的，如民航、交通、化工类的公司、涉及安全生产建设类的公司等，这个时候，将网络安全与企业生产经营安全连接一起，相互补充，会更有利于工作的开展。在进行团队建设和团队岗位、人员设计的同时，相关任职资格、岗位职责、工作内容、范围等需要逐一明确，这项工作需要网络安全的负责人与人力部门共同设计和完善。

负责公司核心主题业务安全的主管部门和负责公司网络安全部门相结合的案例

二、网络安全法规标准

随着网络安全法的颁布实施，相关法律、法规和行业标准、规范等日渐完善，企业网络安全建设已经可以做到有法可依、有规可矩。所以在敲定网络安全的战略定位和组织架构这第一步之后，调研和学习相关法律、法规等成为网络安全管理建设的第二步。坦白来说，这一块的调查和研究还是比较复杂的，对人员要求较高，既要对网络安全精通、熟悉，又要对法律、法规以及相关政策、规范深入了解才行。但是调查和研究法律法规和政策规范，对企业网络安全建设是有重要的意义，俗话说，法律是底线，只有掌握了底线在哪里，才可以做到最基本的安全建设。

这个时候，进行网络安全等级保护测评工作，不失为一种良策。通过网络安等级保护测评工作，借助专业的网络安全测评机构，可以快速帮助企业建立和实施网络安全基础建设，同时相关法律、法规的学习和解读，通过等报实施的全流程，可以做到全面地大概熟悉。借势发展、借力前行，仍是IT建设的最佳的发展思路之一。但是等报测评也有相应的弊端，其主要依据是网络安全法和网络安全等级保护管理规定，对一些行业属性较强的网络安全解读较少。庆幸的是，例如金融机构、电力机构等，其行业相关网络安全规定、计算机系统安全保护规定等相对比较健全，而且较早的实施了安全监督检查机制，这种对企业来说，相当于找到了组织，可以跟上级监管机构学习行业网络安全内容。行业网络安全其实除了涉及通用安全设备和策略外，更多偏向于行业熟悉，即业务安全，这一块容易忽略，但也是最重要的内容之一。

这里还分享一个小TIPS，即收集和分析网络安全热点事件，这些事件往往可以最直观的的体现网络安全的缺失和不足对企业运营的影响，稍作加工整理，作为安全简报，发给网络安全领导小组，既充实了网络安全与高层对接工作，又给高层领导上了网络安全直接、生动的一课，收益绝对超出预期。

三、网络安全管理体系

正所谓，网络安全三分技术、七分管理，网络安全管理体系作为网络安全管理篇的重中之重，是企业进行网络安全建设落地的体系化指导手册。

关于体系和规划，这里有必要做一个说明，因为我们之前经历过体系和规划的争论或是对体系认识不清的事情。体系与规划一直是密不可分的两个方面，很多时候，直观感觉这两个方面的界线比较模糊一些，但实际上，规划是超前的，体系是当前的，体系根据规划建立落地指导手册，日常工作围绕体系的建立和落地执行，通过体系建设，逐渐落地和实现规划的内容。所以体系建设一定要务实、可执行，是网络安全建设的行动方案指南。

本章节从网络安全标准规范和手册、网络安全风险评估、网络安全应急管理、安全重保、安全培训以及安全计划管理等几个方面进行网络安全管理体系的阐述。

本文标签： 网络安全指南企业