构建安全运营治理体系的核心要素探索与实践
近些年,安全运营体系的搭建与安全运营能力建设,受到越来越多行业的重视。安全运营治理,将安全服务(自有、外包)、安全管理(流程、制度)、安全技术(平台、工具)等形成一个有机融合的安全运营框架体系,整体提升企业的信息安全日常管理水平、风险识别能力、安全防御能力,以满足合规监管和实际安全需求的目标。
但从安全运营治理实际效果上来看,大多数安全运营工作未能取得预期效果。例如很多企业采购了大量高技术安全设备,组织一定规模的安全团队,也形成了基本安全流程制度框架,但仍无法有效覆盖必要的安全保护对象,存在基础安全问题无法根除、监管单位通报时有发生、面临重保和攻防演练手足无措、安全服务团队疲于应付、对高级别安全威胁缺乏防御底气等问题。
持续投入建设的人员、设备、流程、资金等,与预期效果之间的差距,都给企业尤其是信息安全相关部门带来较大压力。如何进行安全运营治理体系的规划与建设,并发挥实际的安全效果,成为企业亟待解决的问题。
现状问题与建设思路
分析现有安全运营治理现状不难发现,在搭建过程中,前期缺乏对企业现状的调研分析,在运营目标和指标设定方面缺少科学依据;中期在技术、服务等整合过程中缺乏有效输入,无法保障流程机制的实现运转;后期在安全效率与安全效能发挥方面缺少量化分析,致使安全运营体系优化工作存在障碍。
充分认识、梳理工作重点与难点,以咨询视角合理设计解决思路,是安全运营体系发挥安全效能的重要保障。
安全运营治理工作的关注点
能力整合与实际效果
安全运营工作,需要将人员组织、流程方法、平台工具等要素高效运转起来,做到安全问题的提前发现与处置,并基于现有的状况合理预测未来的形势,保证安全能力不变的前提下,有效降低安全成本。遇到紧急安全事件,能够按照SLA予以高效处理,同时针对不同时间纬度能够对所有安全运营事务予以总结。
人是最重要的要素
安全服务有企业安全成员和外包员工,安全漏洞的修复同时涉及安全、运行、运维部门,在安全监督合规方面,审计、合规、风险、检查等角色也参与其中。
部门工作边界模糊、人员操作不规范、安全工作职责不清等问题,都会让发生安全风险的概率增加。团队之间协调、配合、统一管理难度非常大,如果出现紧急安全事件,缺乏适用的安全运营治理体系,会导致内部混乱低效,互相扯皮推诿,直接影响安全治理工作。
重要任务事项的流程化
安全运营涉及的范围很广,基本涵盖了安全的所有领域,工作任务执行情况直接影响着整体安全运营的结果。安全运营治理体系框架内的重要事项、工作任务都需要被有效的管理,就需要一个抓手,即通过安全运营的工作流程予以保障。
基于整体目标的指标体系
在安全运营治理体系内,单个工作任务完成的好坏,均需要有量化指标,所有安全工作完成好坏,均需要有指标模型基线。实时监控量化指标,依据差距分析动态调整工作任务所需要的资源,确保工作任务顺利达成目标。
安全投入与产出可量化
信息安全工作的投入成本高,在确保成本可控的前提下,将安全防护的效能最大化是企业的难题。安全运营治理体系的持续投入,要基于各类量化、非量化的结果,与此前进行横向对比,以此作为资源投入与安全产出的衡量依据。
安全运营治理体系实践过程
Safe operation governance
咨询视角强调以ISO27001和应急响应IPDRR(风险识别、安全防御、安全检测、安全响应、安全恢复)的工作方法论为基础, 采用流程化思维进行建设安全运营治理体系的规划与搭建。
制定安全运营框架体系的架构设计(理现状,定框架)
本阶段主要以现状调研与整体治理框架设计为目标。针对人员组织,流程方法,平台工具进行现场安全现状调研,根据安全运营能力成熟度模型,进行评估和差距分析,输出安全运营风险分析和需求分析报告,制定安全运营框架体系的架构设计。
制定安全运营指标(提炼需求、设定指标)
根据业务场景调研和安全现状调研,提炼安全运营指标需求,从人员组织成熟度、流程方法成熟度、工具平台成熟度、安全事件响应处置、呈现能力成熟度、数据安全成熟度、应用系统安全成熟度、开发安全成熟度、安全权限成熟度、安全合规成熟度、基础网络安全成熟度、安全运维的能力成熟度等维度,依据现状和整体框架筛选度量维度,规划设计安全运营效能评估或者安全能力成熟度的评估指标。
制定安全运营流程(筛选流程、指标落地)
运营流程是安全运营治理形成合力的重要保障。依据业务场景与目标及安全运营指标,将业务流程和安全需求相结合,设置并结合人员角色和责任矩阵,定制设计安全运营流程,保障指标顺利执行落地。同时需要注意的是,运营流程的线上化实现非常重要,依托工具平台将流程自动化、可视化运转,确保安全效能的充分发挥,也是各部门和角色人员发挥自身能力和责任边界划分的重要保障。
定制基于客户业务场景的安全运营治理模型(模型设计、结果量化)
根据安全调研评估分析,结合安全运营指标与安全运营流程,可以从安全运营的3个阶段:事前,事中,事后的横向维度,或者以信息安全治理安全合规、数据安全、应用安全、开发安全、安全权限、安全运维、基础网络安全的7个纵向维度定制企业的安全运营治理模型。
安全运营治理模型的设计,能够确保企业对整个安全工作予以运营掌控。例如Capex(初始投入成本)、 Opex(持续投入成本)、安全防御能力指数,安全风险指数等安全运营投资收益比的量化,也能有效衡量各项安全需求和对应支撑的安全服务组织流程工具的成本、功效、风险安全运营性价比等。
总结
Safe operation governance
安全运营治理体系的规划与建设作为一项系统化工程,是安全治理工作的重要支撑,也是确保企业安全质量保持较高水平的核心基础。区别于以往的安全运营建设思路,以安全咨询规划视角,建设有要素输入,过程有指标监督,结果有数据度量,是确保安全运营治理体系取得预期效果的保障。
