网安大咖说·镜鉴（中）| 企业如何因地制宜地实施安全提升计划？

网安大咖说·镜鉴栏目通过对网安大咖说嘉宾访谈内容的深度提炼，撷取群英论道之精髓，汇聚众智谋策之高远，为从业者提供宝贵的经验和启迪。集思广益、博采众长，意在以镜为鉴，观网安之百态，立防范之策略，计网安之未来。

网安大咖说第一期：拐点已至——2023安全新风口邀请了国投证券安全总监李维春和中银证券科技风险与安全负责人蒋琼为栏目嘉宾，以《网络和信息安全三年提升计划(2023-2025)》（以下简称《安全提升计划》）征求意见稿出台为背景，探讨各企业如何因地制宜地实施《安全提升计划》。

蒋琼：关于《网络和信息安全三年提升计划》在业界的反响，特别是在投入资源领域的讨论，非常热烈。有些机构可能原本期待通过这个计划获得更多的资源支持，但发现自己已经达到甚至超过了目标，因此对量化标准的制定产生了疑问。

我认为，接下来监管机构在制定量化标准时，会进一步考虑不同规模和细分行业的实际情况，确保标准的科学性和合理性。同时，从投入的大方向上来看，监管一定会鼓励机构加大投入，并可能通过奖励或嘉奖的方式激励他们这么做。

在内部人员方面，计划已经明确了如果内部能力达到一定标准，将给予一定的嘉奖。这同样适用于投入方面。计划提倡带条件制约的加大投入，即在鼓励加大投入的同时，也要求机构在治理层面建立投入效益分析的过程。这样，在评价投入效益的基础上，机构可以更加合理地进行投入，确保每一分钱都用在刀刃上。

总之，这个计划不仅是一个指导性的文件，更是一个推动整个行业提升网络和信息安全水平的重要工具。通过合理的量化标准和投入效益分析，我们可以确保计划的落地实施，真正达到提升网络和信息安全水平的目标。

李维春：首先，我们对于资源的理解确实不应该局限于人和钱。老板的支持、政策的倾斜等都是非常重要的资源，它们能够为我们的工作提供巨大的帮助和推动力。

特别是在安全领域，招人难是一个普遍存在的问题。如果我们能够放宽一些条件，比如学历要求，让更多的优秀人才有机会进入这个行业，那么无疑会是一个巨大的资源支持。当然，这也需要在保证人员能力和素质的前提下进行。

同时，我也抱有和蒋总同样的观点，即监管在这份文件中提出的资源极限要求，实际上是对从业人员的一个巨大帮助。这体现了监管对于安全工作的重视和支持，也为我们提供了更好的工作环境和条件。

在未来的工作中，我们应该更加注重资源的合理利用和配置，充分发挥各种资源的作用，共同推动安全工作的不断提升。

李维春：这份《网络和信息安全三年提升计划》更像是一个目标导向的指引，它为我们描绘了在三年之后应该达到的网络和信息安全领域的状态。其中提到的66个大任务和33个子任务，更像是一些建议或最佳实践，为我们提供了一些可能的路径。

然而，每家企业的情况都是独特的，无论是公司治理、战略方向还是业务发展，都有自己的特点和成熟度。因此，我们不能简单地将这份计划等同于自己的现有规划。相反，我们应该根据这份指引，对照自己的战略目标、业务目标和信息技术发展现状，制定出自己的规划。

有些公司可能由于各种原因，如投入有限或技术水平不高，需要更长的时间来完成这些任务。但这并不意味着他们无法达到这些目标。通过制定合适的规划，并持续地努力和改进，这些公司仍然有可能实现网络和信息安全的提升。

因此，我认为在制定自己的规划时，我们应该充分考虑到企业的实际情况和需求，结合这份指引中的建议，制定出既符合企业特点又能够实现目标的有效规划。

蒋琼：在制定内部规划时，确实需要根据公司的业务战略规划来进行，不能简单地生搬硬套。对于《网络和信息安全三年提升计划》中提出的6大任务和33个子任务，我们应该有所取舍，根据公司的实际情况和业务发展阶段来确定哪些任务是重点。

同时，将安全流程与公司的内部制度和流程进行融合也是非常关键的。这可以确保安全任务与其他业务活动之间的顺畅衔接，避免出现割裂的情况。

您提到的“三同步”原则（即安全与生产同步规划、同步建设、同步运行）也非常重要。在制定安全规划时，我们必须始终遵循这一原则，确保安全与业务发展的同步进行。

综上所述，制定内部安全规划时，我们需要综合考虑公司的业务战略规划、实际需求和资源情况，并根据《网络和信息安全三年提升计划》中的指导进行有针对性的取舍和融合。这样才能确保安全规划的有效性和实用性，为公司的安全发展提供有力保障。

李维春：关于指标设置，确实应该基于行业共识和合理提法，同时考虑到企业的资源能力问题。每个企业在达到这些指标的过程中可能都有不同的路径和时间需求，这需要企业根据自身情况去解决问题、找差距和原因。

这些指标的存在对于企业对标和量化评估自身安全水平具有重要意义。如果没有这些指标，企业很难准确识别自身在安全方面的成熟度和水平，也无法与同行进行对比和找差距。因此，合理的指标设置对于推动企业安全发展至关重要。

同时，我们也应该注意到，指标设置只是手段，而不是目的。我们应该避免过于追求指标达成而忽略了实际安全效果的情况。在追求指标达成的过程中，企业应该注重实际效果和持续改进，不断提升自身的安全能力和水平。

总之，合理的指标设置对于推动企业安全发展具有积极作用，但企业也应该根据自身情况灵活应对，注重实际效果和持续改进。

蒋琼：在这份文件中，虽然“运营”这个词出现不多，但确实蕴含了安全运营的理念。运营到一定阶段后，指标化是不可或缺的，这也是为何文件中会提出众多指标以提升安全水平。

正如您所说，这些指标的提出与近年来行业内发生的一些重大安全事件有关。这些事件往往是由于测试的不完整性或安全测试环节的缺失导致的，给企业和用户带来了巨大损失。因此，文件的制定者可能是出于降低这类风险事件的考虑，提出了这些具体的指标。

此外，这些指标对于那些将安全外延缩小的企业来说，是一个很好的提醒。它们可以帮助这些企业认识到，安全并不仅仅局限于某个环节或某个部门，而是需要贯穿整个研发、测试、运营等各个阶段。

总的来说，这份文件不仅为企业提供了安全运营的指导，还通过具体的指标帮助企业更好地评估和提升自身的安全水平。希望企业能够充分利用这些指标，加强安全管理和运营，确保业务的安全稳定运行。

李维春：对于代码审计和测试这样的安全任务，全覆盖是一个共识，但具体的实施方式可以根据企业的实际情况和成熟度进行灵活调整。例如，对于代码审计，除了关注OWASP Top10等常见的安全漏洞，还可以根据企业的业务特性和技术栈，制定更细化的审计指标，以确保审计的全面性和有效性。

关于测试环节的介入，左移思想的确是目前业界的共识。在开发过程中尽早引入测试和安全分析，有助于提前发现和修复潜在的问题，降低后期修复的成本和风险。然而，具体到左移到什么程度，确实需要根据企业的实际情况和需求进行权衡。过度左移可能会增加开发过程的复杂性，而左移不足则可能导致安全问题的遗漏。

因此，企业在制定安全规划时，需要综合考虑自身的业务特性、技术实力、人员配备等因素，制定出既符合行业标准又符合自身实际的安全策略和实施方案。同时，保持与业界最佳实践的同步，不断调整和优化自身的安全体系，以确保业务的安全稳定运行。

蒋琼：在开发过程中，不能牺牲敏捷性，否则工作很难顺利开展。同时，配套资源的问题也是一个不可忽视的挑战。在理想与现实之间，我们需要找到一种平衡，既要保证开发的高效性，又要考虑到资源的有限性。

对于测试资源的问题，确实，如果测试从需求阶段就介入，那么测试资源的需求可能会成倍增加。这就需要我们在项目规划和资源分配上做好充分的准备和协调。可以考虑通过优化测试流程、提高测试效率、利用自动化测试工具等方式来降低测试资源的压力。

关于安全建模和研发运维之间的立标准阶段，这也是一个需要重点关注的问题。在敏捷开发的环境下，如何确保安全建模和研发运维之间的有效协同，确实是一个挑战。我们可以考虑通过制定明确的规范和流程，加强团队之间的沟通和协作，以及引入专业的安全人员和工具来提升整体的安全水平。

最后，关于敏态和稳态之间的交融关系，这确实是一个易行难的问题。在实际操作中，我们需要根据项目的具体情况和需求，灵活调整策略和方法，既要保证开发的敏捷性，又要确保系统的稳定性和安全性。这需要我们具备丰富的经验和深厚的技术功底，同时也需要团队之间的密切合作和共同努力。

注：2023年6月9日，中国证券业协会正式印发《证券公司网络和信息安全三年提升计划（2023-2025）》（简称《安全提升计划》），明确了六大类31项主要任务，其中，鼓励信息科技平均投入金额不少于2023年至2025年平均净利润的10%或平均营业收入的7%；鼓励有条件的券商结合自身实际情况逐步提升信息科技专业人员比例至企业员工总数的7%等。本期讨论内容为2023年1月《安全提升计划》征求意见稿出台背景。

下期看点：《安全提升计划》的提出，跟实际的安全工作差距在哪里？怎么弥合政策与实际工作的差距？网安大咖说·镜鉴（下）| 把握安全新脉搏：企业CSO的领航之道。