兵者,国之大事,生死攸关,不可不察也!要做好网络安全建设,最优先要解决的是公司领导的重视与资源的投入。
网络安全组织:风险管理委员会、网络安全委员会、三道防线
- 业务是安全第一责任人。安全不仅仅是安全团队的责任,业产研是主要责任人,但安全团队要为最终结果负责。安全是助力业务发展,而非成为裁判。让业务快速发展起来是首页目标,成功了再去解决负债。
- 独立成建制且职责清晰、权责一致的安全团队
- 可持续的安全人才发展,有挑战的安全场景,有竞争力的薪资待遇,有顺畅的上市通道。
- 符合市场比例的安全预算,满足合规认证、漏洞奖励、商业安全产品与服务、安全会议与赞助、高校/行业机构合作等需要。
定期同步风险机制、网络安全制度规范建设
实现“有法可依,有章可循”
- 安全方针:安全使命、愿景、价值观;安全责任;安全规划等
- 各安全域管理要求:数据安全管理办法、网络安全管理办法、办公安全管理办法等
- 可落地的实施要求:漏洞处置规范、密钥使用规范、网络安全红线等
安全人员要认清自己的定位,公司并不是请你来监管大家的,你和外面的监管人员不一样。不能说这不行那不行,应该要看如何才能行。在法律法规允许的情况下,站在公司立场谋求利益最大化。知道红线在哪里,不会离红线太远,也不会越过红线。历史经验告诉我们,大部分的创新就会存在擦边球,早期的快捷支付可能就是非法经营,对始终记住对用户有价值就行。