由安在新媒体联合中国网络安全审查技术与认证中心（CCRC）共同举办的第四届“超级CSO研修班”，于2024年1月20日圆满结营。在导师引领和课程启发下，学员们共交付15篇极具代表性的毕业论文，是各自相关领域网络安全建设、实践与思考的精华之作。

本着分享交流之精神，我们特别精选几篇，以连载的方式呈现公众。希望借“CSO说安全”，让更多CSO们关注、支持并参与到CSO文化的沉淀积累和广泛传播中来。

CSO说安全 | 高飞：浅谈企业的安全风险管理框架-外企的安全实践浅析系列

高飞

某外企网络安全官

风险管理框架(RMF)是公司用来识别、消除和最小化风险的模板和指南。它最初由美国国家标准技术研究院(NIST)开发，旨在帮助保护美国政府的信息系统的安全。

同样，为了帮助确保一个公司信息系统的安全，需要建立适合公司自己的安全风险管理框架(SRMF)，用以衡量公司网络安全计划的强壮度。并且公司每年都会进行内部审查，定期接受外部第三方的评估，因此能够保持持续的洞察策略，以帮助保护公司的信息系统安全和数据安全。

关键词：风险管理框架(RMF)、风险、网络安全计划。

通过倾听、关注他人和做出有意义的举动，公司始终如一地提供独特的体验，展示我们对顾客和同事的体贴和关照。为了照顾我们的客人和同事，我们采取妥善的措施来确保委托给我们的信息的安全。为了更好地保护客户数据，我们围绕行业领先的安全标准构建了公司的网络安全计划—安全风险管理框架(SRMF)。

我们改编了来自互联网安全中心(CIS)的控制措施，形成了公司自己的网络风险管理框架（SRMF）。在此过程中，我们遵循了几项核心设计原则，包括：

公司的安全风险控制框架(SRMF)需要确保符合监管和合规的要求，例如，支付卡行业数据安全标准[PCI DSS]、通用数据保护条例[GDPR]；并借鉴了其他领域的领先于本行业的标准，例如，美国国家标准技术研究院[NIST]和云安全联盟[CSA]。

我们对安全的承诺是跨越实体界限和物理属性的，延伸到与我们的客人和所有同事的互动中。为了支持这一承诺，公司的网络安全计划每年由外部第三方进行评估，并向董事会报告我们的安全状况。

我们根据(S.M.A.R.T)的标准设立了管理的目标，我们的目标是具体的、可衡量的、可实现的、相关的、有时间限制的，以此来衡量风险控制的结果。

基于攻击者行为和防御策略的知识和经验进行控制点的设置。

通过公司风险管理框架和内部的评估流程，公司的网络安全项目团队可以优先考虑最关键的网络安全任务。

公司选择的风险管理框架有明确的针对性、精准的，也是阈值明确的。

为了管理和降低顾客和同事可能面对的潜在风险，公司投资行业领先的安全技术来管理和减轻网络安全风险，公司的网络安全团队负责维护、监控和持续改进这些技术解决方案。

我们认识到任何一种安全技术都有它自身固有的风险，所以设立了专门的委员会评估和控制安全方面的投资，以最大限度地提高入侵者在造成伤害之前被发现和处置的机会，在持续的关注中时刻保持警惕，实施部署了以下的安全技术方案。例如，网络边缘的下一

代防火墙(NGFW),云环境的加固，威胁情报平台，单点登录（SSO）,多因素认证（MFA）,特权访问账号管理（PAM）,安全的远程访问，安全事件监控（SIEM），端点检测和响应（EDR/XDR）,杀毒软件（NGAV）,漏洞扫描和修复。

公司恪守安全第一的承诺，利用领先的行业标准来构建强大的网络安全计划。随着外部威胁的不断演变，我们保持和顾客的联系，倾听顾客的心声，对于顾客提出的问题和担忧做探讨和分析；听取网络安全社区专业人员的建议，以改进我们的计划来应对这些风险。以下是我们实施的网络安全计划，例如：

管理授权、访问和身份验证流程，例如，宾客、用户、管理员和服务账户的账户配置、取消配置、维护和删除。这些实践包括IAM的治理和监督、

单点登录(SSO)、多重身份验证(MFA)和特权访问管理(PAM)功能，以帮助防止暴力攻击，增加获得管理账户访问权限的难度，以及限制潜在管理账户泄露的风险。

公司的网络安全团队收集威胁情报并监控暗网中的潜在活动，例如提及了公司名称、公司会员体系的关键词；以及重大活动和事件，例如选举季、大型赛事、集会和名人活动等备受瞩目的活动期间酒店周围的活动。为了防止公司和旗下酒店网络受到威胁，我们实施了IDS/IPS来监控整个公司网络的流量并发出警报，以识别、检测和防范恶意活动或企图的违规行为。此外，出站流量通过零信任的控制代理进行路由，监控实时的未经授权的访问请求，业务所需的远程访问用户需要使用网关和多重身份验证才能访问公司网络。

公司制定了事件响应计划来应对、检测和响应潜在的攻击。公司事件响应计划与最佳安全实践保持同步，考虑到灵活的且不断变化的威胁形势，作为该职能的一部分，公司通过执行年度桌面演习来定期进行业务影响分析，并且每季度更新一次事件响应文档。

公司每年都会进行渗透测试（红蓝对抗）演习，包括物理安全渗透测试。

任何已识别的漏洞都会优先进行修复，这有助于确保我们的环境随着时间的推移实时保持安全状态。此外，公司每周扫描核心的业务应用程序和数据库以识别潜在漏洞，并通知所有酒店在规定的期限内完成漏洞修复。除了在开发、试运行和用户测试环境中对更新的应用程序进行扫描之外，网络安全的架构团队还在将应用程序发布到生产环境之前，通过静态代码扫描和漏洞扫描等方法对其进行审查和清理。

我们认识到，每个人都可以做一些事情来改善我们公司的安全。虽然我们设计了一个能够抵御网络攻击的控制环境，但我们相信我们的同事是整体安全态势的重要因素。公司和酒店的同事每年都会接受网络安全培训，培训包括但不限于隐私实践和信用卡信息处理；我们还持续对所有同事进行网络钓鱼意识培训和演练，以帮助防范社会工程攻击。参与安全开发的开发人员和其他同事还需要接受安全代码培训，以确保从一开始就最大限度地减少漏洞。

对任何新系统、新产品的提出，首先需要通过公司的网络安全评估和架构评估，用户部门提交新产品的评估表格给安全架构团队来发起流程，进行产品的网络安全状况、合规性影响的全面评估。这个过程中安全团队能够与各业务团队紧密合作，从整体角度评估安全性。

公司的文化是秉持开放的心态，拥抱学习的机会。数年前我们就推出了公共漏洞赏金猎人计划，而我们公司的顾客和同事成为最大的受益者。公共漏洞赏金计划针对安全研究人员在公司系统中发现的安全缺陷，向他们提供最高10,000美元的现金奖励，值得说明的是我们公司是第一家推出此类计划的酒店公司。

基于所处行业的特殊性，公司非常重视我们顾客和同事的隐私。

我们的公司网络安全计划中的隐私委员会由跨职能部门组成，负责监督与数据安全和隐私相关的政策和协议。隐私委员会每年根据需要向董事会和审计委员会报告，并在每季度向公司风险委员会报告。

最后，在对网络安全计划进行任何形式的更改之前，我们都会退一步先进行内部讨论和外部咨询。我们仔细考虑我们的选择，听取同事的意见和国际社会的见解，然后才做出最佳行动方案的决定。

公司的文化和理念，在任何时期尤其变革的时代，安全是至关重要的。当下的变化发生得很快，技术更新日新月异，我们拥抱云计算和AIGC赋予我们的敏捷性；与此同时，

我们仍然坚持关爱员工的宗旨，坚持真正的以人为本，承诺体现了以此为旨的目标。客人和同事的福祉是我们的首要任务，我们为他们在我们这里找到安心而感到自豪。

当我们选择以CIS作为设计原则，建立自己的风险控制框架以应用于公司时，我们在公司的网络安全政策中反映了此更新，我们的网络安全标准、程序和指引参考了安全风险控制框架、网络安全政策和任何适用的监管安全控制措施（例如PCI-DSS、GDPR）。随着我们不断推动公司网络安全计划的发展，我们至少每年审查和更新一次公司的网络安全政策和网络安全标准。这种关注的核心目的是关心我们的顾客和同事，使他们能够做到最好。

“第五届超级CSO研修班”现已正式启动报名。计划于2024年9月开营，次年1月结营；北京、上海、深圳三地，12天集中授课；结业由CCRC和安在新媒体分别颁发证书。

（点击图片即刻了解详情）

往期学员感想：

某咨询公司安全专家：“我最大的收获有三个。一是收获了导师们的人生经验，以及他们在工作中积累下来的宝贵财富；二是结识了一群非常好的同学，我们一起学习、讨论、进步；三是在学习的过程中也让我对自己今后的咨询工作有了更多更好的认识。”

某金融企业安全专家：“研修班的学习让我感到很充实，很聚焦，也很开放，对我来说是一个非常好的学习成长的机会。在四个月的时间里，我从导师和同学们身上都学到了很多的东西，让我的安全能力得到了很大的提升。”

学费为5.8万元/人，含教学材料、用品礼包、学习期间用餐、证书、评优奖励等，但不含往来交通费和住宿费。接受个人支付、企业代缴或定向赞助等多种灵活付费方式。

即日报名可享“早鸟票”，最低只需3万元/人，限额5名。

报名请联系：

徐青青（xuqingqing823125689）

   扫码联系

同时欢迎来自各界的赞助合作，合作方式包括品牌赞助、参学赞助、酒会赞助、活动赞助等多种形式，名额有限，有意请速洽：徐倩（Madeline_Sue）

   扫码联系