闲聊安全体系化建设

企业如何搞好安全体系化建设?

做为老板，业务，安全从业人员在这个问题的答案会是这样吗?

做为老板，积极关注安全事务，并提供相应的资源，包括钱，权，时间，关注安全人员成长，并给予极大的信任及期望;

做为业务人员，积极响应并紧密配合，将安全也加进KPI，把安全部门反馈来的问题都及时的处理，并和安全部门建立很好的战略合作关系;

而做为安全人员，利用安全运营平台及技术，识别及处理安全事件，能够为公司业务持续运营提供了保驾护航的安全能力输出，让老板能多多挣钱，自已也走上升职加薪的成功之路。

可事实上呢?

老板与高层并不关心所谓的安全体系化建议，或者说不关注安全，他关注的只是核心业务，资本运作以及更多公司远景方面的事物;

业务人员关心的是产品何时上线，产品如何得到市场的认可，如何转化成收益，对安全的态度是可以加入，但别影响我上线，线上有漏洞了，关我啥事?你管安全的又不是我管;

而安全人员呢，每天是救不完的火，打不完的口水仗，开不完的扯皮会，挖不完的洞，还要应对上面下面左面右面源源不断的质疑，哪有时间体系化?

[[338284]]

那怎么做呢?

笔者认为是让安全体系化建设产生价值;

做为安全的负责人有很大的责任，要知道公司高层的愿景，这样才能将就要把相应的工作重点转移到公司愿景上来，形成安全工作愿景，这就是常说的上下同欲，这样即能达成老板的目标，也可以发展相应的安全业务，何乐而不为?

安全体系建设，说到底就是形成一套有人管(安全管理)，有术控(安全技术)，日常有序(安全运营)的有效安全策略措施的集成体;

开展工作，首先要把合规工作做好，千万不要应付和敷衍;现在的网络安全法，网络安全等级保护条例，GDPR，SOX404，ICP年审，以及各部委的安全专项检查，如果出现问题，企业可能会造成很大的影响，这是老板关心的，这样你就会发现好多事都可以开展;

其它，安全基础工作做好，千万不要信有什么银弹，安全体系不是一下子就能做好的，要同时根据业务和安全愿景，通过安全事件进行推动，协调相应人员，将处理流程文档化，软件统一化，SDL埋点(与业务商量或者培训QA)，人员培训计划等;也许当你完成了短期目标(1-2年)，安全体系的雏形就已呈现了，后期再慢慢完善相应的模块，补充相应的安全防御产品及技术手段，相信在您的五年期目标，会形成有效的信息安全体系，提供给要保护的目标一个有效的纵深防御架构，而后就是优化，依据PDCA的模型，对安全策略和体系进行更新，调整及优化;

最后就是日常安全务处理，也就是笔者个人理解的安全运营，如果有真正的安全运营平台，将安全策略下发，流量监控，安全事件处理联动，安全风险预警等日常工作自动化处理，那么未来招聘的岗位可能会有安全平台策略分析师，以及可以什么也不懂的流水线专职的安全运营工程师了;

笔者认为，信息安全体系建设的价值是体现在公司上的，只有根据公司业务经过不断调优才是最好的;公司业务和发展阶段都不一致，相信每个安全从业人员在内心中也都有一个自认为最好的，最能体现自我价值的那个;

加油，奥力给!