作者:舒胤明,本硕均就读于成都电子科技大学,硕士期间在信息安全实验室从事恶意代码、入侵检测等方向信息安全技术研究,毕业后曾在中国电科、中国电子等央企从事信息安全产品研发工作,负责安全管理平台、安防系统等项目实施和解决方案落地,深入了解政务、公安等行业需求。从乙方到甲方,现在成都银行科技部担任系统工程师,从事银行信息化体系建设等工作,负责数字证书认证管理的落地实施。
走过2019年,迎来2020年,适逢“十三五”末年以及“十四五”布局之年。可以预见,明年的工作重点,各类规划的启动,无论是中长期规划、“十四五”规划、三年滚动规划...都将会接踵而来。本期主题的推出恰逢其时,5W2H的方法论确实是做规划论证的有利工具,关键是要“知行合一”,让5W2H真正贯穿于整个信息安全规划制定的各个方面。
在这个过程中,结构化的思路能够起到“事半功倍”的效果。下面,笔者从做信息安全规划的主要环说开去,谈谈如何利用结构化的思路,在做信息安全规划的过程中践行5W2H,希望与大家分享交流:
一、宏观形势分析
宏观形势分析,其实就是回答为什么要做信息安全的原因(5W2H中的WHY)。一般说来,宏观形势分析是做任何规划的第一步,信息安全规划也不例外。按照结构化的方式做分析,可以参考管理学常用的PEST分析,可以从以下几个方面展开:
►政策(policy)层面,2017年《网络安全法》颁布以来,各个层面的政策要求不断落地,法律合规方面对信息安全愈发重视。今年等保2.0的修订,央企考核文件中明确网络安全责任,以及央行颁布金融科技的三年规划,都将信息安全提到重要位置。
►经济(economy)层面,可以论述金融科技在降本增效方面的作用;或者谈一谈近来一些信息安全事件的发生,对企业经济损失的评估。
►社会(society)层面,经过近几年国家网络安全周的宣传,以及一些事件的驱动,不管是大中企业、还是个人用户,信息安全意识都有觉醒,信息安全逐步成为其选择产品、服务的一个重要因素。
►技术(technology)层面,一是近年来移动支付的兴起、大数据的用户画像、人工智能在后台分析的应用、云计算对基础设施的变化,新技术新应用新模式都会带来新的信息安全挑战,比如云计算基础设施让内外网边界模糊,大数据与人工智能下数据安全的新问题等。二是新型的攻击手法、威胁层出不穷,从传统的小黑客攻击,到社会工程学、到“正规军”长期潜伏实施APT攻击,正所谓攻防博弈对抗,都值得关注。
二、对标分析
对标分析,有时候也叫“最佳实践”,有单位会在信息安全规划中独立成篇,有些时候也会放在“宏观形势分析”中,但无论放在哪里,对标的重要性都不言而喻,也是能说服高层决策者的重要手段。进行信息安全实践对标的时候,一是视野一定要广,不一定要局限在本行业。比如笔者做银行信息安全规划,其实像蚂蚁金服、京东金融等互联网金融厂商,他们在信息安全方面值得银行从业者学习的有很多。
二是要做到“取其精华”,对于每一家对标企业,不用全盘对标,而是要选取其做得好的地方,比如对标同业银行,学习其在网络设备安全防护、风险控制的最佳实践,对标互联网金融企业,学习其数据安全的先进做法。
三、现状分析
现状分析,主要是结合前面的形势分析、对标分析,以问题为导向,剖析不足,既回答了5W2H中的WHY,又部分引出了WHERE,现状和差距就是入手的地方。要全面系统地找出问题,可以从以下两个方面,通过结构化思路展开:
1. 对接业务。信息安全规划、乃至整个信息规划,也是为整个单位的总体规划服务,信息化要为业务赋能,信息安全要保证信息系统、数据的安全流转,所以一定要辩证看待“安全和发展”的关系,要避免只顾业务发展不顾信息安全,也不能一昧的为了信息安全而牺牲效率。
2. 系统全面。要做到系统、全面,就需要参考结构化的分析方法,做到不重不漏。国际上的ISO27001信息管理体系、我国今年5月新出的等保2.0,都提供了良好全面的框架供各单位开展信息安全现状分析。尤其是等保2.0对云计算、移动互联等新场景也做出了一些规范要求。此外,现在大家都在讲数据安全,今年9月发布的GB∕T 37988-2019 《信息安全技术 数据安全能力成熟度模型》标准,就从数据采集、存储、传输、交换、销毁等全生命周期提出了结构化的评价方法,供大家参考。
3.评估风险。信息安全也遵循“木桶原理”,最薄弱的环节也是最容易突破的环节。按照结构化的方法,对信息系统、对管理进行安全评级、评估后,应当找到风险点,针对风险点提出信息安全的基线要求。有条件,也可以采用“模拟实战”的方式,来进行排查。
四、定目标
这是信息规划的核心部分,是未来一段时间内信息安全建设的“行动纲领”。这一章要回答5W2H中的WHAT、WHEN、WHERE、WHO、HOW、HOW MUCH。可以分为定总体目标以及定重点任务。
定总体目标,主要是把方向、提原则。
一是要服务于企业的业务规划、组织规划、信息化规划,不能“闭门造车”,要服从业务的开展、组织的变化、信息化的实施,思考怎么从管理、技术、运维手段确保信息安全,最好能对照业务规划、信息化规划,将其中的任务要求逐条进行分析,思考信息安全如何保障、如何支撑,才能让信息安全服务于业务。
二是要遵循“安全与发展兼顾”“技术与管理配合”“管控与效率平衡”的原则来制定目标。在这个过程中,有条件的话,要做到和业务部门、职能部门、一线支行的“几上几下”,充分征求听取他们的意见建议,让信息安全规划的目标真正切实可行,切忌让规划变成“鬼话”,以后只能“墙上挂挂”。三是要区分存量增量,已经建好的信息系统如何上信息安全加固手段,新建信息系统如何让信息安全同步规划、同步建设,侧重是不一样的。
定重点任务,主要是按照结构化的分析思路,将总目标进行分解,明确5W2H中的WHAT和WHERE。每一项重点任务,要明确具体目标、实施路径、责任分工、资源投入等。具体目标,就是明确每一项任务要在哪一年达成什么效果(WHAT、WHEN);实施路径说的是具体怎么干、干到什么程度(HOW、HOW MUCH);责任分工,就是匹配、调集资源的过程,明确到具体责任部门(WHO)。
五、规划执行
俗话说,“一分部署,九分落实”。规划执行,要做好两件事。一是让宏观的“十四五规划”、“三年规划”与年度的经营预算、年度的行动计划挂钩,有条件的单位要和考核KPI挂钩,将规划的任务落实到每年的行动中。二是要滚动修订规划,要根据规划执行的结果、最新信息安全形势的变化,时刻修订规划,这也是管理学常说的PDCA循环。
以上粗浅的分享,希望能够对各位同行有所帮助。
声明:本文来自安在,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。