甲方信息安全运营体系建设连载-体系化

接上文说到甲方单位为啥需要建设安全运营及开展思路，本文继续围绕思路详细介绍下体系化阶段做什么，如何做。体系化分为技术体系、管理体系，运营体系

• 技术体系：简单来说就是依据等保2.0“一个中心，三重防护”理念（一个中心指的是安全管理中心，是对信息系统的安全策略及安全机制实施统一管理的平台，三重防护指的是按照分域保护的思想，将信息系统从结构上划分为不同的安全区域，各个安全区域的内部的网络设备、服务器、终端、应用系统形成单独的计算环境，各个安全区域之间的访问关系形成区域边界，各个安全区域的连接链路和网络设备构成了通信网络，因此整体安全保障技术体系将从保护通信网络、保护区域边界、保护计算环境三个层面构建，最终形成三重纵深防御安全体系，并且他们始终在安全管理中心的统一管控下有序运行），不过具体技术建设需要根据公司的目标及预算情况，建立相应的安全技术防御措施
• 
• 管理体系：甲方做安全常说“三分靠技术，七分靠管理”其中安全技术手段是安全管理的基础，安全管理手段是安全技术手段发挥作用的关键。管理体系简单来说“建组织，定制度”确保安全工作可落地执行，逐步让各部门认可，在企业内部形成安全文化。关于组织即团队建设，在正式成立安全团队之前，应先做好安全规划，安全规划通常包含安全合规、数据安全、应用安全等等这些领域，依据对这些领域的建设规划的优先级，描绘出团队建设路径，这不仅可以与高层领导明确企业阶段性的目标，也同时在跟领导说明我们需要什么样的人，需要多少人干这个事儿，再后面就是招到在每个阶段找到满足要求且合适的人。关于制度其实咱们很多甲方单位内部管理制度已经有些信息安全要求的基础制度，比如外部员工来访安全规范、自有员工入职离职账号安全管理等等，只不过全面性+完整性远没有达到合规认证或者安全工作落地的要求。在制度实施过程中万别随意把手里通用的制度规范拿出来试运行，风险很高，而且会被各个部门挑战质问“你了解我们的行业吗，你了解我们的业务吗，当前没有这种xxx技术手段，实现不了。。。”，所以在制度实施前务必先了解公司的业务、部门组织架构，了解信息安全制度落地执行情况，找到执行困难点后立项、撰写制度、执行、整改优化等，在此期间务必与高层领导达成共识，拿到“尚方宝剑”。
• 

 运营体系：很多同学关于运营比较陌生，不知运营为何物，需要干啥，运营从字面上看，“运”就是运转起来，用起来，把建设后的安全设备、平台等有效的用起来；而“营”就是持续输出价值。笔者认为技术体系和管理体系是安全工作开展的基石，而安全运营体系则是将人、技术、制度流程统筹，目的是让其发挥效果，持续且有效的输出安全价值。具体分为三块1）安全运维：包含设备日常维护巡检、安全策略下发、日志审计等；2）运营流程：日常安全运营团队会将平时的安全运营工作处理过程，总结凝练成标准化的运营流程，比如资产管理流程、威胁管理流程、事件管理流程、漏洞管理流程等，并将这些流程内置到安全运营平台，再结合一些自动化手段，从而保障安全工作可以在线运转、落地执行、高效闭环；3）安全评估考核：日常安全工作做的好不好，是否有效果，是需要有数据量化考核，可以上能汇报、下能通报。评估考核分为俩块：1）成熟度评估 ，即评估当前企业的安全能力水平层级（参考CMMI成熟度能力L1-L5层级），其中从安全能力建设情况差距分析“有没有”，从工作的完成情况评估安全建设过程是否落地执行，执行是否全面；2）健康度评估，即安全建设效果评估，通过事件/漏洞闭环处置率、MTTD/MTTR及时率、护网/攻防演练等实战验证建设效果。