自“信息安全运营”公众号创立,笔者一直在思考什么是安全运营和如何进行安全运营等问题,本文作为阶段成果分享给大家,后续将不断完善,敬请关注。
本文通过简单易懂的方式来阐述对安全运营的理解,包括安全运营的定义、前提、目标、规划、团队、升级、维持和保障。
谨借此文向聂君、赵弼政、谭晓生、吕毅、胡珀、何扬军、刘凯、黄乐、徐正伟、蔡俊磊、宋士明等导师致敬,导师们在深耕安全运营过程中分享的内容是笔者学习安全运营知识的重要来源。
一、安全运营的定义
安全运营的定义其实很简单,即安全+运营,可参照 地铁+运营、物业+运营、品牌+运营等。
安全:业务/产品/资产
运营:系列管理工作的集合,不断 规划§、运行(D)、评价©和改进(A) 的过程。
安全运营:把安全作为业务/产品/资产,通过系列管理工作进行提升或维持的过程。
二、安全运营的前提
安全运营是否需具备前提条件?答案是肯定的。前提条件是信息系统受破坏后对国家安全、社会秩序、公共利益及公民、法人、其他组织的合法权益的造成一定损害。参照《信息系统安全等级保护》国家标准,笔者建议具有等级保护第二级或以上信息系统的企业需进行安全运营。
持牌金融机构(银行、保险、证券、基金、期货、信托)等直接保存公民隐私信息和关乎公众的“钱袋子”,其信息系统重要程度非常高,一般都具有第二级以上信息系统,理所应当要开展安全运营。
关键信息基础设施(面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统或工业控制系统)直接关系到国家、企业、公民的利益,按照相关规定需定级第三级或以上信息系统,必须开展安全运营。
互联网企业均重视开展安全运营,根本原因是其信息安全风险非常大,信息系统随时会因受攻击而停止运作,影