企业在经过创业初期的蛮荒拓展之后,业务步入正轨,除了继续在市场上攻城掠地之外,还需要逐步建立网络安全体系,防止业务系统遭受入侵或数据泄密给企业带来损失,保护大家共同的胜利成果。
笔者在企业网络安全体系的建设实践过程中,深感“依法治国”的理念对于网络安全管理体系的建设大有裨益。
“依法治国”是治国理政的基本方式,是实现国家治理体系和治理能力现代化的必然要求。
企业网络安全体系建设之“依法治国“
依法治国的核心是依宪治国。
依法治国的基本要求是:有法可依(前提)、有法必依、执法必严、违法必究(有力保障)。
对应企业网络安全体系,核心是建立适应业务的安全策略总纲(“宪法”),明确企业的网络安全目标、组织保障、处理网络安全事宜的一般原则等。
要做到有法可依,安全管理上需要建立一整套安全管理策略、针对各分领域的安全管理规定、风险评估与定级办法、奖惩管理规定等;安全技术上需要建立安全技术标准与规范,含算法/协议标准、产品(含中间件)与版本标准、安全设计规范、开发规范、部署规范等。
要做到有法必依,则需要在流程和日常业务活动中大下工夫,保障各项安全策略、安全技术标准与规范的落地,将安全融入到日常的业务活动中去。
比如针对产品开发业务,需要将安全纳入项目管理流程,在项目的不同阶段,执行不同的安全任务,保障安全政策在产品的全生命周期过程中落地。
执法必严、违法必究,是安全策略、标准规范落地的保障。
“法律必须被信仰,否则它将形同虚设“,安全政策一旦发布则必须严格执行,如果实际工作中无法执行,定要深刻分析原因,到底是执行的问题,还是立法的问题。如果安全政策得不到贯彻执行,比如安全流程绕过,久而久之,安全政策将被忽视,从而导致企业的整体安全水平下降,风险提高。如果安全政策滞后,不适应业务的发展了,则需要及时的进行修订,以避免成为公司发展的阻碍,但在未修订之前,仍须遵循。通过安全审计的手段,强化严格执法的力度,强化对策略、规范的遵从性。
对于违规行为,需要根据奖惩管理规定对违规责任人进行处罚。执法的同时也是一个普法的过程,能够更好的促进安全策略、标准规范的落地。
如果您是企业内部的网络安全人员,不妨参考“依法治国”的理念,帮助公司完善和改进适应业务的“安全法律”体系。
长按并在弹出菜单中选择"识别图中二维码"关注微信公众号: Security_SDL ,共同探讨网络安全体系建设~
原文始发于微信公众号(数据安全架构与治理):企业网络安全体系建设(1): 依法治国
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论