产品展示
诸子云 项目:从企业组织架构看信息安全

发布于:2024-01-16 20:00:20  来源:产品展示  点击量:14次

  诸子云 企业网络安全专家联盟——以中国境内各行业各领域企业组织的网络安全从业骨干为主体的社群组织,是为奋战在用户单位网络安全一线的实践者提供的交流互助平台。

  2019年6月,诸子云首次推出“项目”共建机制,鼓励会员群策群力、创新分享。这一模式基于诸子云社群特点,以“众人拾柴火焰高”的理念出发,贴合现下安全从业者想要集中力量为安全行业办大事的想法。项目一经发起,就受到会员们的广泛认同和热情参加,第一季共计开展了11个“诸子项目”,取得了初步成果。

  2020年1月,安在发布诸子项目第二季预告,在经历了第一期项目的积累和铺垫以后,项目第二季度受到了专家会员们更加热烈的呼应和参与,项目数量更多、覆盖范围更广、理论研究更深、参与人数和热情也更高。第二期诸子项目共计发起10个,今天我们要介绍的,就是专注于组织架构——从企业组织架构看信息安全。

  项目内容:1.了解目前金融行业和互联网领域头部企业的安全组织现状。2.汇总分析各个组织的优缺点,组织演进路线和原因,组织架构对安全管理的推动作用。3.按行业和规模对安全组织给出最佳实践建议,发布供行业参考。

  系统规划与管理师,软件设计师、CISP、CISAW、CCSSP、广东省网络安全空间协会专家委员会专家,CSA云安全联盟大中华区云安全标准组专家。

  信息安全行业老兵,拥有超过十年的安全行业经验,在安全管理合规与数据安全经验丰富

  信息安全体系框架由安全组织架构体系、安全技术体系和安全管理体系共同构成,其中安全组织是信息安全建设的第一步也是最基础的部分。好的组织架构能够使得安全管理工作更加地顺畅和有效。组织架构主要由组织内部的各个要素组成,如组织人员、职位、责任、协同、关系、信息和目的等等。

  组织架构能否有效运行就取决于组织内部各个要素之间能否合理配置、充分协调、以及组织与所处的环境的适应程度。组织结构对于维持组织安全、可靠、有效的行动和控制整个组织的运作很有重要的影响,直接影响了组织目标能否顺利实现。网络信息系统中的安全问题与组织架构存在密切联系,合理的信息安全组织架构是确保企业有效信息安全管理的前提。

  本报告通过企业调研的方式,从安全组织架构设置、安全部门与安全人员配置、安全资产金额的投入等方面做详细分析,同时参考国内多份政策指导意见和权威报告等文件,综合对比国内外有关数据,最终形成了针对目前企业信息安全组织结构的分析报告,很具有参考价值。

  姚俊先表示,在信息安全管理中最重要的就是人,这也是企业信息安全建设的第一步。从整个信息安全体系框架来说,目前对企业信息安全体系中的安全管理和安全技术的讨论比较多,但是对于安全组织这部分内容的研究相对较少。

  作为企业安全负责人,经常面临的难题是怎么样做安全团队的建设,安全团队要多少人?每年安全投入多少才合适?这些安全资源如何说服老板投入?目前在对安全团队规模、安全人员配置和资金投入没有一个可参照的标准。

  故该项目基于以上背景,想要借助诸子云协作平台汇聚大家力量,借鉴先进企业的安全组织架构发展经验,分析安全领先的行业信息安全组织架构情况,为中小机构提供一个对标参考的指南。

  提到项目的调研、分析和编撰过程,姚俊先表示,由于不一样的行业和规模的企业对信息安全建设要求不一样,安全人员配置和安全人数也都有一定的差异,所以项目小组成员按照不同的行业进行分工和互补。

  在项目推进过程中,如何调动项目小组成员的积极性和及时做沟通是值得思考的两个点。对此,姚俊先认为,安全人员的工作任务繁重,因此就需要一个良好的统筹机制和平台来提升小组成员的效率和参与度。

  如何获取足够多的有效数据是项目最困难的地方。由于组织架构设置、人员配置和人员数量等都是企业内部的信息,正常情况下不会直接对外披露。未解决这个问题,他们一方面通过发放相关调研表,并承诺对有关信息严格保密,只用于统计分析,不发布企业名;另一方面通过直接找相关企业人员访谈和参考第三方报告,比如Gartner的分析报告。

  即便如此,依旧不能够确保有关信息和数据为最新以及一定准确。受限于数据来源,样本信息数量以及覆盖的行业类别三个方面,也使得本报告存在一定的不足。另外,企业信息安全组织架构发展路径过程分析还不完善,不同规模的企业安全组织的人数建议、安全汇报、横向安全沟通等方面还能更加进一步改进。据悉,接下来项目小组成员还将对该报告进行修订。