文/刘志诚

一、背景

这两年时有感慨信息安全领域的举步维艰,总感觉是个叫好不叫座的领域,乙方大厂迷失在传统安全领域,新兴创业公司寻找不到合适的定位,根本原因还在于甲方安全的领域和范围处于无处不在的动荡和不确定中,在甲方做安全传统行业大多关注办公网的基础安全,组织架构处于IT部或IT运维之下,互联网相关的数字原生或数字化转型企业也仅停留在应用安全,研发安全的范畴,即使近两年关注的数据安全和个人信息保护,合规关联性较大处在法务合规的模糊地带,至于和业务相关的防欺诈和业务风控则各种架构并存。

我曾经撰文疾呼信息安全或网络(cyber)安全是企业全面风险治理(ERM)的一部分,事关企业的的可持续发展,是业务连续性(BCP)战略中关键的一环,也是当下大热的企业治理中环境安全治理(ESG)的核心任务之一,从这个维度来看,信息安全在组织结构中应该向执委会或董事会汇报,提升信息安全组织定位。当然,虽然我还算是一个阅读广泛的写作者,但本质上是比较懒去查个重资料,以论据佐证观点。

有次跟华为企业BG的CSO王生牛总聊天,大家颇有共同语言,邀我参加华为网络安全治理图书的撰写,建议我撰写安全组织架构这章。公众号文章可以尽情发表观点无需佐证,写书的话,还是要言必有出处,不可信口开河,所以资料准备阶段,耗费不少精力,过程中的一些资料,分享给大家。

二、信息安全的组织价值

信息安全专家leron提出安全应该内生支持业务发展,基于风险的方法,保护重要资产降低威胁,他提出安全是为客户提供顺畅体验的产品和服务的基础,并认为脆弱的产品,错误配置的基础设施,不安全的运营,不完善的合规以及无法抵御事件的能力,是阻碍企业实现目标的核心要素。

安全的目标是建立客户信任,提升产品质量,扩大销售和扩张业务,相对硬的安全需求包括安全合规,产品安全,基础设施安全,人员安全,以及足够的弹性。

三、东亚信息安全组织架构实践

发现东亚这些上市企业,大多任命了CISO,并纳向公司CEO或行政总裁汇报的机制,虽然大部分通过安全委员会的虚拟组织实现协作,但作为企业风险管理的关键环节纳入可持续发展计划和ESG范畴,基本已经成为主流。相对于传统行业,电信,信息产业以及信息产品制造业在关注IT安全,个人信息之外,产品安全作为安全的重要职能纳入管理,信息安全的职责范围,政策和具体措施更加多元化和具有创新性,标注为最佳实践的企业,大家不妨多做参考。

1、Docomo NTT(最佳实践)

日本的电信运营商Docomo NTT ,可持续发展政策以及四大优先治理领域,增强价值链合作伙伴关系,不断强化信息安全。

将安全视为客户提供服务的首要任务,尽最大努力增强客户安全;托管客户重要信息的ICT解决方案合作伙伴始终合作,确保其安全;确保保护业务合作伙伴和合同员工的自身安全。

CISO向总裁(执委会)汇报,管理职能分为三部分,第一部分设计安全策略,管理各分支机构组成信息安全咨询理事会和信息安全专家组(包含合规,内部审计,企业规划和人力资源)。第二部分涉及安全事件响应,管理安全专家委员会(计算机安全事件响应团队),第三部分属于安全运营,由管理安全委员会(秘书处)对接二层组织安全实现管理,各子管理委员会包含CSIRT功能检查,安全专家共享,ITOT资产管理,安全回顾。

2、Hitachi High-Tech

日本日立高科,信息安全委员会是在总裁任命的信息安全管理员的领导下,作为管理全公司信息安全的组织而设立的。此外,在每位经理的指导下,整个公司和集团范围内扩大安全事件响应、警报和安全强化措施。

3、Fujitsu(最佳实践)

富士通集团于2021年10月任命了专门的首席信息安全官(CISO)。在日本和三个国际地区(美洲、欧洲和亚太地区)设立了区域首席信息安全官,以实施全球一致的安全政策和措施。它们使总部的政策与每个国家/地区的特定安全要求保持一致,以通过我们的全球集成系统加强信息安全。通过指派安全经理负责富士通总部及其集团公司国内外各部门的自主信息安全工作,加强CISO对相关部门的控制,以达到理想的信息安全状态。安全管理系统确保每个部门都有一名“信息经理”,负责监督信息的管理和保护;“系统安全经理”,负责监督信息安全系统的维护和管理;以及领导产品漏洞管理的“产品安全事件响应团队 (PSIRT) 经理”,以便他们能够与 CISO 合作推广各种信息安全措施。

在首席执行官的领导下,构建以 CISO 为中心、由首席执行官监督的全球网络,以管理和保护信息。各部门任命管理人员,明确职责,促进信息的妥善处理。

4、SK telecom

韩国SK电信,SK telecom信息安全纳入向董事会和ESG委员会汇报的治理范畴,设置CISO管辖IT安全和网络空间安全,设置CPO管理客户信息保护。

其中网络空间安全中,针对通信行业特征,重点关注业务安全中的电信金融欺诈响应,文本和语音呼叫威胁的用户意识教育和损坏防护控制,开发垃圾短信和垃圾电话的检测与治理,开展政策与研究机构以及对外合作活动。

5、Samsung SDS(最佳实践

韩国三星SDS作为可持续发展战略中的关键数据安全策略,设置直接向CEO汇报领导安全中心的的CISO负责信息安全工作,设置向CEO汇报领导合规服务团队的CPO(首席数据保护官)保障数据安全合规。公司信息安全部门包含数据中心安全,开发安全,安全验证和质量安全部门。

6、Mitsui-Soko

日本三井仓库,信息安全与业务连续性,合规作为三大业务基础风险与销售风险,可持续风险作为在管理委员会会议上分担并应对公司和各运营公司的重大管理相关风险。信息安全通过信息安全委员会设置首席信息安全官,负责信息安全管理系统的升级和推动活动,确定集团各组织单位的信息安全合规状况,保护个人信息和企业信息。

7、Coway

日本coway作为可持续性的ESG亮点部分,信息安全和隐私保护由兼任首席数据保护官的信息安全官领导信息保护委员会直接向CEO汇报,涉及到IT服务计划,基础设施技术,IT采购,人力资源,总务,合规部门配合完成信息保护,信息安全团队负责信息安全和技术安全的相关工作。

信息保护经理作为助理行政人员协助信息保护委员会负责人CISO承担IT运营管理工作,委员会的成员包括各相关部门经理,IT服务计划总监,合规部主管,信息战略总监。

8、Canon MJ

日本佳能日本营销,管理架构分为两部分,一部分负责集团信息安全的监管,另一部分负责各个公司/部门的信息安全。在集团的信息安全监管架构下,由集团总部职能部门规划、建议和推动集团的通用规则和措施,包括IT、物理和人员安全措施。各公司/部门的管理架构下,根据各公司或业务的特点,设立负责信息安全的部门或部门管理架构。同时,每个组织任命一名信息安全推动者,负责灌输规则和实施措施。

9、NDP

日本NDP成立了信息安全委员会和信息安全总部,作为全公司管理的监督机构,对业务部门和集团公司进行检查和指导。委员会主任由负责总公司的高级管理人员担任。此外,各事业单位和集团公司均设立了信息安全委员会,在委员长和个人信息管理负责人(以及各事业单位负责人)的指导下,处理以下事项:教育、安全领域措施和信息安全措施,并承担检查责任。自2015年起,海外集团公司设立了信息安全委员会。

于2021年10月在总部成立了DNP-CSIRT(DNP计算机安全事件响应小组)作为网络安全响应组织,从而确保在发生任何不可预见的情况(事件)时业务连续性不会中断。

10、TDK

日本TDK设置直属于执行委员会的“信息安全委员会”,针对整个集团的信息安全,采取相应的应对风险措施。由全球各地区代表设置会议机构,强化全球的信息安全管理。对于各部门,通过召开信息安全管理者会议等,力求推进措施的开展实施。

11、NISSAN Chemical

日产化学信息安全由首席数字化转型官负责,数字化转型官通过数字化转型总监指导信息化工作,信息安全管理员和信息系统办公室经理向数字化转型总监汇报,与信息管理秘书处协作规划系统和业务安全,进行意识教育和监控实施,支持报告和响应分支机构和部门的实践工作,具体的信息资产管理,信息安全合规度量,事件响应以及业务连续性由分支机构承担。

信息安全事件的处理,成立CSIRT(计算机安全事件响应小组),由数字化转型官负责,数字化转型总监辅助,具体管理部门包括信息系统经理,信息系统班管事,信息管理秘书处,计划办公室公共关系组,风险管理与合规办公室。负责向首席风险官汇报,并接受指导,对内协调运营部门,劳工部门,总部行政部门,关联公司,外包公司,负责对外向警方,关联组织,以及监管部门汇报。

12、Brother(最佳实践)

日本兄弟公司产品安全,B-PSIRT关注产品安全,遵循产品安全合规,产品安全事件处理,产品安全漏洞处理,执行预防策略,进行产品安全意识教育,通过产品安全开发流程与产品安全事件响应流程,实现产品安全信息公开和产品信息安全外部评估认证,通过第三方机构安全验证计划严格测试,遵守权威机构例如BMSec的安全计划。

13、Acer

台湾Acer,「企业信息安全管理组织」,通过固定举办例会进行内部团队持续分享,并通过风险管理委员会,受董事长暨执行长(CEO)与董事会进行信息安全策略的监督,加速新政策布达与各单位意见沟通的机制建立。「企业信息安全管理组织」由全球信息技术总部主管(Head of Global IT)担任主负责人,并指派信息安全管理室负责制度管理推动与落实、企业信息安全室负责资通安全防护与强化作业; 并由各处总处长(或处长)担任信息安全管理组织委员(Committee),指派代表成立全球信息安全应变小组、ISO信息安全推动与执行小组、信息安全稽核小组及资通安全强化小组,持续精进内部信息安全管理。

14、D-Link友讯科技

台湾D-link作为可持续性的信息安全由安全部负责人向总经理汇报,总经理牵头成立信息安全管理委员会,除信息安全,个人信息和隐私保护外,包含产品安全职责。

15、VIS(世界先进)

16、国泰金控

国泰金控及其附属公司均设有独立的信息安全部门和监督人员,负责规划、监控和实施信息安全管理。每年向董事会报告上一年度信息安全的实施情况。信息安全委员会是一个跨职能委员会,负责制定信息安全政策,并在集团层面推广管理体系。为进一步促进国泰金控及其附属机构之间的有效跨职能沟通和一致的信息安全管理,国泰金控及其附属公司成立了跨职能信息安全沟通委员会,以进行信息安全监控和质量提升。

Matthew Miau是国泰金控的独立董事之一。他拥有加州大学伯克利分校的电气工程学士学位和圣克拉拉大学的工商管理硕士学位。他目前是联华实业控股有限公司的董事长,该集团北美联强公司的Westcon-Comstor是信息安全和网络协作领域的领导者。他曾是工业技术研究院(ITRI)的获奖者,是台湾计算机信息产业的先驱。具有IT相关经验,信息安全,擅长IT渠道布局、全球生产、企业物流、合资及战略联盟、风险投资等领域的管理能力。

17、亚洲航空

2021年7月,公司成立“信息安全委员会”,由总裁办副总裁担任主任。委员会成员:总裁办副总裁、军机副总裁、直升机副总裁、董事长办公室主任、军机事业部各处处长、行政总监/质量保证总监/会计财务总监/采购总监、经理信息管理;行政主任担任执行秘书。

参考文献:

1、https://zinatullin.com/2019/06/01/developing-information-security-startegy/

2、 https://www.ntt.com/en/about-us/csr/sustainability/policy/governance.html#

3、https://www.hitachi-hightech.com/global/en/company/sustainability/governance/security.html

4、https://www.fujitsu.com/global/about/csr/security/

5、https://www.sktelecom.com/en/view/esg/information-security.do

6、https://www.samsungsds.com/en/digital_responsibility/data-protection-policy.html

7、https://www.mitsui-soko.com/en/sustainability/governance/risk_management/

8、https://canon.jp/corporate/en/sustainability/governance/security

9、https://www.global.dnp/sustainability/governance/security/index.html

10、https://www.tdk.com.cn/zh/sustainability2023/governance/information-security

11、https://www.nissanchem.co.jp/eng/site/policy2.html

12、https://global.brother/en/sustainability/social/product-security

13、https://www.acer.com/sustainability/zh/esg-governance/information-security-and-privacy-protection/information-security

14、https://company.dlink.com/zh-hant/esg/information-security

15、https://www.vis.com.tw/sc/cs_riskmangmnt

16、https://www.airasia.com.tw/index.php?option=module&lang=en&task=showlist&id=909&index=9

17、https://www.cathayholdings.com/en/holdings/csr/intro/sg/is

声明:本文来自IT的阿土,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。