随着网络安全在企业信息化中的比重越来越大,在企业中从事安全工作的人的角色也在逐渐发生变化,从一开始由企业的IT运维人员兼管,到有专职的IT安全运维人员,其中一个重大的变化就是CISO(企业首席信息安全官)角色的出现,并且这个角色正逐渐从CIO的架构独立出来,而向CEO直接汇报,参与到企业的决策工作中。一个完美的CISO架构成为企业现代化的一个重要标志。我们在这里借鉴卡耐基梅隆大学的一个研究报告,抛砖引玉,试图构建一个理想中的企业CISO团队。
CISO四个关键职能方向:
保护,屏蔽,防御和预防(Protect,Shield,Defend & Prevent)
确保企业的员工、政策、流程、实践和技术能受到主动保护、屏蔽,防御企业免受网络威胁,并防止网络安全事件发生或再次发生;
监控,发现和追踪(Monitor,Detect & Hunt)
确保企业的员工、政策、流程、实践和技术的相关监控操作,主动寻找和发现安全漏洞和风险,并尽快报告可疑和未经授权的事件;
响应,恢复和维持(Rsponse,Recover & Sustain)
发生网络安全事件时,尽量减少其影响范围和程度,并迅速恢复企业的员工、政策、流程、实践和技术的正常工作流程,以使资产尽快恢复正常运营,这里资产包括技术,信息,人员,设施和供应链等;驾驶人以及相关行业和管理部门提供电子证照服务。
治理,管理,遵守,教育和风险的管理(Govern,Manage,Comply,Education & Manage Risk)
确保企业的领导层、员工、政策、流程、实践和技术等流程能够参与对所有网络安全活动的持续的监督、管理、绩效评估和修正,并确保该安全活动符合所有外部和内部要求,为企业降低相应的风险。
CISO组织结构
根据CISO在企业中的职责,定义如下CISO组织结构,包括五大部门,下面详细描述各部门、子部门的职能和活动:
项目管理部门(PM,Program Mgmt.)
CISO组织的项目管理部门包括图中所示的三个子部门。
**项目管理办公室(PMO,Program Mgmt. Office):**完成制定并成功实施信息安全项目和基于该项目的计划的所有相关工作。这些工作包括以下内容:
**治理,风险和合规性部门(GRC,Governance, Risk, and Compliance):**主要完成合理的监管、风险管理以及执行企业必须遵守的法律、法规、政策和其他与信息安全相关的合规性的所有相关工作。这些工作包括以下内容:
**人事和对外关系部门(PER,Personnel & External Relationships):**负责企业信息安全项目中涉及的员工和相关外部人员的沟通协调工作。这些工作包括以下内容:
对外关系管理包括:
人事管理包括以下内容:
安全运营中心(SOC,Security Operations Center)
**安全运营中心:**负责企业所有日常的网络安全运营工作,其中许多工作由IT成员定期执行监督并向CISO组织报告。以下是典型的SOC工作:
应急行动和响应管理部门(EOIM,Emergency Operations & Incident Mgmt.)
应急行动和响应部门的工作是与SOC密切合作的,该部门的主要职责是在重大安全事件发生时动员企业员工,启动应急计划并管理对处理时间有很高要求的这些行动和响应工作。在正常情况下,该部门与SOC成员一起完成以下工作:
安全工程与资产安全部门(SEAS,Security Engineering & Asset Security)
安全工程和资产安全部门包括图中所示的六个子部门。这里将安全工程和资产安全合并在同一部门的主要原因是:在安全运营工作中为确保企业资产(主机,网络,系统,应用程序和信息)在运营过程中安全,在相关的购买和二次开发工作能够效率最高而需要的更大合作的必要。最近几年已经出现了很多做为DevOps的一部分而进行的这种协同工作的好处的案例,即企业的CISO会基于企业的相关技术领导决策基因和员工的相关技术能力的综合考虑,将相关的工作划分到不同的企业部门。
安全工程部门(SE,Security Engineering)完成以下工作:
安全要求:定义,分配及指定安全三要素机密性、完整性和可用性对企业的
**身份和访问管理部门(IAM,Identity & Access Mgmt.):**负责定义和管理代表需要访问权限的人员、设备和其他资产(例如信息,技术和设施)的身份。该部门还负责根据这些身份及其权限定义和实施访问控制策略。用于身份和访问管理的技术方法包括Active Directory,密码,PIN(个人标识号),数字签名,智能卡,生物特征等。
应用安全部门(AS,Applications Security)完成以下工作:
主机和网络安全部门(HNS,Host & Network Security)负责以下工作:
信息资产安全部门(IAS,Information Asset Security)负责以下工作:
企业的物理环境安全通常会分配给企业的另外部门,譬如企业的首席安全官(CSO),也就是说该工作不是CISO的职责范围。CSO和CISO必须密切合作以确保对物理设施等有形资产的安全,尤其是那些包含信息技术和运营数据的资产。我们在CISO架构中包括这个物理访问控制部门(PAC,Physical Access Control),目的是负责定义和实施对环境设施和其他物理资产(例如网络和主机)进行物理访问所必要的数字和电子访问控制。由于该部门的范围有限,在CISO架构中也可以将其与其他部门譬如身份和访问管理部门合并为一个部门。
信息安全执行委员会(ISEC,Information Security Executive Council)
**信息安全执行委员会:**负责为CISO提供建议,并协助CISO确保以下三个任务的实现:
ISEC是CISO治理和监督职责的一个方面。
ISEC包括来自企业相关决策或业务部门的关键成员,例如,企业首席运营官,首席信息官,首席财务官,首席安全官(或企业物理环境安全的负责人),法律顾问,人力资源,首席隐私官,市场公关,营销,业务部门总监,工程总监和信息技术总监等。
关于全息网御:全息网御科技融合NG-DLP、UEBA、NG-SIEM、CASB四项先进技术,结合机器学习(人工智能),发现并实时重构网络中不可见的”用户-设备-数据”互动关系,推出以用户行为为核心的信息安全风险感知平台,为企业的信息安全管理提供无感知、无死角的智能追溯系统,高效精准的审计过去、监控现在、防患未来,极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。