读《如何做好首席安全官 》

其实还没毕业的时候会有过这个想法,当然现在也有,不然关注这个干嘛,或许以后会变也不一定,或许想去创业,或许只是想一直搞技术,玩出自己想要的就好了。

当时想的是其实比较简单,就是知识面比较广,又有管理能力,那么就可以了。那我们看看作者说得东西,我再去跟进。

业务理解与赋能

这个不错的,你对你保护的对象都不了解,你搞毛的安全啊。无论什么东西,只有你了解了,你才能够做得好,我觉得这都是源于一个道理:量变到质变,只有量达到了,质才能发送,了解的量足够多,才能做出成绩来。赋能这个词就用的有点玄乎了,这个我听到的比较多的是那些商业节目,互联网大佬的演讲。“赋能”最早是积极心理学中的一个名词,旨在通过言行、态度、环境的改变给予他人正能量。而其实发展到商业,应该叫赋能授权好点,意思就是授权给企业员工——赋予他们更多额外的权力,或许他们可以创造出更多价值。好像说远了。。。

安全治理与战略规划

  1. 战略一致性:信息安全的战略与重点应该与业务的战略、布局、拓展等能力需求保持一直,这肯定要对业务的充分了解了
  2. 价值:这个确实,假如一个东西没价值,你花钱做他干嘛,你的工资也是由你的价值决定的,一个基本的价值是让当前公司更安全,业务更有保障,更牛逼的像BAT还可以将自己的安全能力输出,
  3. 风险:这个还是安全的问题,直接抄一段:以业务与风险为导向,以威胁为驱动手段,从管理、技术、人的纵深;从业务自身能力、安全风险管控能力、安全监督审计能力的纵深;从业务外延领域、虚拟边界领域、核心能力领域的纵深,进行全面安全风险整合优化,提升感知、管控、处置、迭代能力。
  4. 资源投放效率:该找几个人合适,这是一个值得思考的问题,哈哈,上年看到很多一个人的安全建设的文章。
  5. 度量评价:这个评价我觉得安全团队内部有个评价,做出的安全贡献,安全能力等评价,另外对其他部门有个评价,这个部门的产品的漏洞数多少,高危几个,中危几个,修复情况,修复效率等,感觉这个会被其他部门挨骂啊。。。。

安全风险管理

ISO13335没接触,估计没到那个位置都不会接触了

这个也就只能抄点过来了

参考的方法包括企业全面风险管理、COSO-ERM、ISO31000等国内外最佳实践要求。

本着安全风险以终为始(Begin with the end in mind)的目标,总结了五大常见安全风险目标分类,仅供参考。

核心资产
持续业务能力
资金相关
合规、归零
声誉、商誉、品牌

安全技术与架构

其实架构以前会觉得是很高大上的东西,因为当年了解到架构师的工资很高

现在觉得的话是你非常了解一个东西,那么你就知道怎么去构建这个东西

安全的话也是:
产品的攻击面,每个攻击面的安全怎么设计
物理攻击的防御

安全管理

这个不熟悉,直接抄点

曾经江湖传闻安全有各种流派,其中有一门为管理标准派,独门秘笈为“BS7799、ISO17799、ISO27001“

安全管理不简单等同于体系标准,根据公司的情况与管理风格,一个公司安全管理规范可能能够覆盖大部分常见的场景,这样就没有必要马上弄一个文档制度体系。即使是需要构建管理体系,在各个方向上的发力点也是不同的,可以从几个最急迫、最痛的管理诉求开始,如公司账号、权限管理要求、数据保密制度等等,在业务运作与安全管控之间构建一个合适的平衡体系

业务安全与风控

业务安全,包括反作弊、防刷单、黑产对抗、账号体系安全、资金交易安全等等

其实业务风控和内部控制也没说什么用处太大的东西

安全运营

这个让我想到的是src

这个也是感觉说了很多废话

我自己感觉是将之前设置好的架构什么的落实,漏洞处理落实等等

本地政府、监管理解与法律法规合规

这个当然是肯定的,怎么刚也不能和法律,政府刚啊,这样就少了麻烦事了,不就更有心思搞安全了?

安全审计

这个我感觉是安全检查吧,嘻嘻,随便乱说的

代码设审计肯定也算里面

危机管理、安全事件调查与取证

这个其实应该在架构设计的时候就是要考虑的,应急响应的演练,方案啥的

组织架构、安全意识与内部安全品牌建设

内部安全意识培训?

打造公司的安全品牌的名声?

资源管理与使用效率控制

设备买了就要用,否则就不买?

reference

https://www.sec-un.org/%E5%A6%82%E4%BD%95%E5%81%9A%E5%A5%BD%E9%A6%96%E5%B8%AD%E5%AE%89%E5%85%A8%E5%AE%98-%E4%BC%81%E4%B8%9A%E5%AE%89%E5%85%A8%E4%BD%93%E7%B3%BB%E4%B8%8E%E6%9E%B6%E6%9E%84%E5%AE%9E%E7%8E%B0/

自愿打赏专区