北京时代新威信息技术有限公司总经理王新杰
企业如何在网络安全的建设中利用监督机制来保证网络安全?时代新威正在利用信息系统审计,建立企业网络安全监督机制。
企业网络安全工作面临着诸多困境。很多企业对网络安全工作的开展缺乏整体思维,对网络安全立项的目标和任务认识不够全面。作为一个软件开发企业,首先你要明确你要做的是一个什么样的软件产品,要解决哪个领域的问题,这直接影响到这个企业每年的收益问题。尽管这个问题看似很简单,但在网络安全领域真正能够给出答案的企业或者从业者少之又少。因此我们必须弄清楚网络安全工作的开展,到底应该在什么样的情况下进行。
不少人对网络安全工作的开展还是存在认识误区的,在人们的既定思维中网络安全工作专属于IT部门。而在网络安全产品的选择中,受产品导向的影响比较大,不仅仅根据需求去选择产品,更容易受价格等因素的干扰。这些都对网络安全工作的开展造成了不小的影响。目前,国内市场上针对网络安全的产品种类繁多,网络安全标准和策略层出不穷,但网络安全问题依然没有很好的得到解决。可见,网络安全工作的开展,亟待有效的建立一种监管机制,将当前杂乱的网络安全工作有效的组织起来。通过网络安全监督机制来明确你的目标和任务,来保障你的预算和人员,来判断你的网络安全绩效。
金融领域提到了三道防线概念,这个概念源于国外。比如说,一个银行要通过第一道防线来设计和建立以及执行部分信息网络安全控制措施,这就在信息科技部门。还需要第二道防线来负责网络安全的风险管理的框架和架构,这是在风险管理部门。第三个需要一个监督,就要在这个银行的内部审计部门,银行能够建立这样三道防线网络安全工作机制是得益于金融机构对风险的防控关注,这就需要内部审计部门。这三道防线在银行业是标配,但在其他领域就甚少有提及三道防线概念。我认为金融行业的三道防线的网络安全经验,可以给我们很多的借鉴和参考。
“三道防线”实际上更像是一种相互制衡的监督机制,通过相互之间的督促监管,让业务开展在安全有效的环境下进行,纵观当前的网络安全环境,我们亟待建立这样一种制衡和监督的机制。
如何去建立这样一个监督机制?我认为审计是一个非常好的手段。
可以把它理解成跟传统的财务审计,它是靠一种机制,依靠管理和技术手段来实现网络安全审计。当然,在这个过程当中,有很多的信息系统审计,或者网络安全审计的技能在过去这20年的网络安全工作当中,并没有得到很好的重视,所以我们需要一个教育培训的过程,让大家要能够从第一道防线、第二道防线角色上,能够站到第三道防线的位置上来看我们网络安全工作开展的效果。
用审计建立一个网络安全监督机制几个关键点需要弄清楚。首先,要明确为什么要做审计,审计的目的是什么。其次,要搞清楚审计的内容是什么,要有依据的开展这项工作。最后,要搞清楚怎么去审,这些都是一些具体的工作。我们国家的网络安全审计应该早日提上日程,更应该在行业中形成规范,能够与网络安全工作的开展紧密联系,又能够相对独立。
