这里是普通文章模块栏目内容页
金融企业信息安全团队建设(务实篇)

ID:jungedetili   

上篇()立言老师介绍了金融企业信息安全团队建设的痛点、面临的宏观环境、团队文化建设和意识建设,本篇将从以下五个方面介绍:

四、信息安全团队能力建设

五、信息安全团队建设路径

六、信息安全团队绩效体系建设

七、信息安全人员的职业规划

八、信息安全团队与其他团队的关系处理

注:序号承上。全部为企业安全建设工作中,深度实践总结归纳。

四、信息安全团队能力建设

根据中国信息安全测评中心发布的《中国信息安全从业人员现状调研报告(2017年度)》,我国信息安全从业人员年龄大部分在20-40岁之间(占比88.4%),65.9%的人员从业年限在5年以内,仅15%是由信息安全专业毕业。可见,信息安全从业人员相对较为年轻,信息安全行业经验较短,且绝大部分并非信息安全专业毕业的“科班生”。因此,该报告得出判断,“整体信息安全人员的职业发展都处于初步成型阶段”。

表面上看这些都是信息安全团队的劣势,但凡事皆有两面性,只要用心加以转化,劣势就可以变为优势。信息安全团队成员虽然普遍从业年限不长,存在一定的知识和技能短板,但年轻的团队处于学习和成长的旺盛期,只要推动组建学习型组织,建立合适的知识结构,形成有效的思维模式,就能推动团队快速进步。

一个好团队的建设标准,可以采用“两个离开”来衡量:

团队成员要有能力离开,这就要求提升团队成员的知识和技能;

团队成员不愿意离开,这就要求持续提升团队凝聚力以及团队成员的价值感和归属感。

“能力+意愿”二者的结合,必能打造一支优秀的、战斗力强的团队。其中,团队意愿建设有很大的普适性,已经有大量的书籍和文章研讨,此处不再赘述。团队能力建设具有专业特性,而金融企业信息安全团队的能力建设更是有其鲜明的特点和要求,下文将重点阐述。

金融企业团队的信息安全工作涉及面广、安全保障级别高,对信息安全团队的能力建设也提出了更高的要求,需要通过恰当的专业分工,一方面让每个成员各司其职,使个人职责范围内的知识和技能提升最大化,另一方面让团队成员之间优势互补,促进团队的整体效率和效能最大化。

信息安全团队能力建设,可以分为几个步骤:

确定团队工作目标,找准主要矛盾,明确团队整体职责;

根据资源情况、团队成员特点,将团队的整体职责细分为若干子团队的职责;

根据职责分工,确定各团队成员的知识和技能需求,再根据团队的知识和技能背景,找出差距,制定针对性的培养提升计划。

掌握学习方法,实现事半功倍的效果。

以下依次说明每个步骤的实践方法。

(一)确定目标,找准主要矛盾

金融企业的信息安全工作目标通常分为两部分:

安全管理类,主要是满足监管合规性要求和防范科技工作流程中的风险;

安全技术类,主要是通过各种各样的技术防控手段,防范攻击入侵、信息泄露等信息安全风险。

不同发展阶段的金融企业,上述目标的侧重性会不一样。与科技企业、互联网企业等“技术流派”有所不同的是,金融企业的安全团队往往优先满足第一类目标,因为金融企业面临的监管要求多,合规性是对外经营的基础,必须优先保障制度流程的完善及操作过程的合规。第二类目标一般先通过部署基本的安全工具(如防火墙、防病毒、IDS、WAF等)实现技术防控,再依托第三方安全专业机构的外包资源做渗透测试、漏洞扫描和日常安全监测等作为补充。

要根据本企业的特点和信息安全工作发展阶段,抓住当前信息安全团队工作的主要矛盾,确定安全团队的关键职责和团队能力建设的重点:

如果监管要求的达成还有较大差距,安全团队就要先把主要精力放在合规性方面,安全技术防控方面先部署基本的技术工具并适当利用外包资源。此时安全团队的关键职责就是构筑信息安全的底线,开展监管要求符合性分析和差距整改、信息安全管理体系建设、制度流程完善、内部安全检查等工作,安全技术工具维护和安全外包服务作为辅助职责。

如果信息安全管理工作已经达到一定水平,就要一方面持续坚持信息科技合规建设不放松,另一方面加快培养安全技术防控能力。此时安全团队的关键职责需要兼顾管理和技术两方面,在巩固既定的安全管理长效机制的同时,逐步建立一体化、自动化、智能化的纵深防御技术体系,在安全工具和平台的新增引入和升级、安全技术策略的持续优化、安全技术服务的综合化和多样化、安全攻防的深入化等方面下大功夫。

(二)梳理和细分团队职能

金融企业的信息安全团队工作目标、主要矛盾、关键职责等方向性的内容确定后,需要对团队职能开展进一步的细化,明确具体的工作任务。

1.信息安全管理职能

第一大类是信息安全管理职能,即通过管理手段防范信息科技风险。

一方面主要负责信息安全管理策略、制度、流程的制定和优化,确保各项信息科技监管要求在行内制度和流程中得到贯彻,即“有章可循”;

另一方面对各种监管合规要求、制度流程的执行情况进行检查和监督,确保制度流程在日常工作中落实到位,即“有章必循”。

主要工作职责包括但不限于以下几项:

#p#分页标题#e#

负责信息安全整体规划设计和计划管理:组织制定符合金融企业科技规划和风险偏好的信息安全规划,确定信息安全工作的愿景、使命、价值观和发展方向,明确信息安全工作的长期和短期目标,摸查现状和目标的差距,制定具体实施路径;制定年度信息安全工作计划并组织分解任务,确保计划达成。

负责金融领域信息科技相关监管要求的达成:负责组织落实国家监管机构及行业组织颁布的信息安全管理要求和规章制度要求,对于不符合项组织排查和整改到位;负责向监管机构、行业组织及行内职能部门等报送信息科技风险监测情况,满足监管机构对信息安全的监测要求;保持与监管机构和信息安全机构的良好沟通与联络,掌握同业信息安全管理控制的动态信息,指导内部信息安全工作;建立完善与监管机构、行业组织、重要客户的沟通联络应急机制,保持应急机制的有效性。

负责信息安全管理体系建设及维护工作:对于需要通过或持续维护ISO27001认证的企业,采用ISO27001信息安全管理体系为标准,借鉴国际信息安全管理最佳实践经验,制定信息安全策略和方针,系统梳理企业信息安全管理存在的风险,采取有效措施防范信息安全风险,提高自身信息安全管理水平;获得由国家权威机构颁发的ISO27001信息安全管理体系认证证书,提升企业形象和外部认可;持续维护信息安全管理体系并每年通过国家权威机构的年审,确保风险管理机制的长期可持续性。

负责信息科技规章制度和流程的制定和优化完善:收集整理并组织落实国家监管机构及行业组织颁布的信息安全规章制度和管理要求;将外部要求转化为内部制度和流程,建立健全科技规章制度体系,组织规章制度的制定、宣讲、评估、修订、废止等全生命周期管理;组织开展信息科技规章制度检查,检查各项制度流程的执行落实情况,评估制度流程的有效性和可操作性,适时开展制度修订或废止;负责将制度要求落实到内部管理系统中,实现制度要求的技术硬约束。

负责外部信息安全检查的组织和配合:负责具体组织、协调、配合监管机构、行业组织等外部单位以及内部审计部门、风险管理部门、合规部门等开展的信息科技检查工作;针对监管机构现场或非现场检查、内部审计、外部审计以及风险评估发现的风险,组织落实信息安全风险整改,控制和化解风险。

负责信息科技内部风险检查和评估:组织信息科技内部合规性检查、风险评估、整改机制的制定和落实,确保风险被主动的发现和整改,总体控制信息科技风险。

负责组织其它部门和分支机构的信息安全工作:组织对其它部门和分支机构的信息安全现场和非现场检查和监督,确保信息安全制度和要求在全行的贯彻落实。

负责组织信息科技突发事件的应急处置:组织信息科技突发事件和信息安全攻击事件的监控和分析,向监管部门和行内管理层报告,协调应急处理,控制突发事件带来的影响和损失。

负责全辖安全团队建设和培训宣传:组织分支机构建立信息安全岗位,负责岗位人员的培养;负责全体员工信息安全意识教育和培训。

2.信息安全技术职能

第二类是信息安全技术职能,通俗地讲,就是要通过技术措施,实现让攻击者“进不来,拿不走,打不开”的目标:

一方面是“练内功”,致力于提高信息系统自身的健壮性和免疫力,通过制定安全技术规范,确保金融机构的信息系统遵循技术规范设计、开发和运维,减少系统运行的风险和漏洞;

#p#分页标题#e#

另一方面是“防外贼”,就是要在信息系统外围建立“篱笆墙”,通过设计安全技术架构,实施专门的安全技术工具,保护金融企业信息系统及系统中的数据免遭破坏或泄露。

主要工作职责包括但不限于以下几项:

负责制定企业级的信息安全技术规划和技术架构:明确安全技术防控目标,构建覆盖物理安全、网络安全、系统安全、应用安全、数据安全、桌面安全等全方位的技术规划蓝图,确定技术架构体系;摸查安全技术建设的现状和差距,制定安全技术防控措施的实施路径。

负责组织制定和落实信息系统安全技术要求:根据监管机构、行业组织等发布的信息安全技术标准和规范,组织在行内的落实和转化;制定覆盖物理安全、网络安全、系统安全、桌面安全的信息安全基线;制定覆盖需求分析、系统设计、编码、测试、投产、运维等全生命周期的应用安全管理技术规范;通过制定规范、宣讲规范、技术评审、落实情况检查、督促整改的闭环机制,分析评估和化解现有信息系统安全技术架构和安全措施存在的问题和漏洞,确保安全基线和安全技术规范在生产运维、应用研发、科技管理等工作中有效贯彻落实。

负责信息安全基础设施和技术工具的建设和运维:根据整体技术架构,分步骤地实施防病毒、防火墙、入侵检测、漏洞扫描、安全事件管理平台、安全情报分析、安全态势感知平台等信息安全技术措施,负责安全技术策略的建立、调优和维护,开展日常信息安全事件的应急响应和处置,防范安全攻击和入侵风险。

负责安全漏洞检测和防护:信息系统投产前开展网络、系统、数据库、应用等各层面的漏洞扫描和风险评估,组织漏洞分析排查和修复;组织外部专业安全机构定期开展应用系统渗透性测试,有条件的组建内部渗透性测试队伍,评估漏洞风险等级并制定修复方案;针对外部披露的漏洞信息、病毒风险、威胁情报等,组织应急响应和风险防范;组建内部安全攻防队伍,制定安全事件应急预案并开展攻防演练;组织开展应用系统防病毒、防挂马、防篡改、防钓鱼、抗DDOS攻击等方面的安全监控和应急处置。

负责组织开展信息系统安全等级保护工作:按照国家信息安全等级保护相关法规和标准,开展定级、备案、自查、测评及整改等工作,实现等级保护“同步规划、同步建设、同步运行”。

负责信息安全新技术的跟踪研究:组织收集和研究同业信息安全技术及管理发展动态,研究行业信息安全技术发展趋势,提出信息安全技术和管理发展方向建议。

在准确梳理上述信息安全团队职能的基础上,根据信息安全团队人力资源、当年可以投入信息安全工作的财务资源情况,确定本企业当前形势下最关键的信息安全职能是哪几项,然后将关键职能分配至团队成员。最好至少设置安全管理和安全技术两个岗位,在信息安全团队到达一定规模后,可划分为安全管理和安全技术两个小团队,每个小团队中的成员赋予一部分的职责。

上述步骤完成后,就可以形成信息安全团队岗位职责对照表,参考如下:

屏幕快照 2018-03-19 15.58.10.png

收藏
0
有帮助
0
没帮助
0