为什么安全管理制度很难落地
在安全领域,我们常说“三分技术、七分管理”。实际情况也是如此,尤其涉及人、流程参与的工作,安全技术仅能解决一部分问题,通常需要安全管理协同保障,甚至管理的比重更大。但是,几乎所有企业都面临安全管理制度落地难的困惑,几个主要原因如下:
4.制度与实际工作脱节
企业通常的管理路径
企业在开展安全管理工作前,需要成立安全部门(或职责挂靠其他职能部门),明确安全工作的职责,进行部门的“三定”(定岗、定编、定人),如下图:
图3:安全管理的七个路径
建制度:建立网络和数据安全管理制度体系,参照四级文件体系建设,优先推进重要的制度。
企业网络和数据安全制度落地思路?
1.组织和人
(2)网络和数据安全重要岗位
主要包括三类:安全管理类(偏管理组织、资源协调、监督检查等)、安全技术类(应急响应、渗透测试、技术检测等)、安全运维运营类(安全产品运营、日常安全运营、问题排查、技术支持等)。
对安全工作落实与执行的机制和流程进行分级管理,优先明确并制定重要机制和流程,其他则按照相对简化流程执行,执行情况根据公司情况纳入审计范围。可参考的机制和流程如下:
(1)重要机制:监测与预警机制、应急处置机制、风险评估机制、教育与培训机制、重要事件报告机制、重要安全保障机制等。
(2)重要流程:变更管理流程、安全检测流程、访问控制流程(账号、权限、数据导入导出)、数据备份与恢复流程、数据加密和脱敏流程、安全审计流程、安全事件响应流程、漏洞整改流程、日常巡检流程、安全监督检查流程等。中小型企业可参照,考虑优先建立重要的机制和流程。
制度落地思路的总结与建议
其次,由于各类监管动作不断,企业安全部门需要配合大量的安全检查,通常企业安全岗位人员有限,大部分情况被“监管检查标准”牵着鼻子,导致每次检查很辛苦,检查文件夹中躺满各类表格和佐证材料和截图,材料可复用度较低。