PS:案例源于生活,如有雷同,纯属巧合。
开题打算聊聊做安全体系建设咨询的实践故事,正所谓实践,有不完美,方亦探索。
1 金融咨询CASE初探-初探“顾名思义”
CASE切入:某金融客户,目前面临新数据中心迁移。项目交流进行了两次(实践过程主要从第二次Communicate主导做的),大致效果如下:
1st Communicate:数字化转型、十四五规划、安全体系建设不全面导致的问题(经济损失、攻击)、体系建设流程及方法、数据安全建设、业务实施周期及规划。
2nd Communicate:安全咨询建设项目应该如何规划、意义是什么、相比于专业咨询公司安全咨询项目区别和价值何在、作为安全体系建设项目应如何开展、中间提供的每个部分的模块、安全建设思路是如何在金融行业有效落地的,规划一个大的框架导向、参照、对标是什么。
2 金融咨询CASE初探-交流->思考
1st结束后,客户没有反馈有效价值信息。其一是方法论很多,丰富的经验听完,感觉到很厉害,但是理解的点太少了,其二没能get到核心的目的。当然客户认同了,1st的专家专业度、公司专业度是很有实力的,所以才会有2nd的交流。
2nd交流前,把1st交流的东西去掉了很多,客户听完也表示很清晰,说出个建议及咨询方案。
2nd交流主要方法论这部分深聊,我都放在一个安全体系建设的框架中去聊了,也花了一部分时间功夫做了具体的安全体系建设的框架图(且叫V1.0):
V1.0-安全体系规划 –安全建设体系咨询落地模块
V1.0能看到,其实是引导客户对安全体系建设有一个了解看及框架思路,我们如果单以方法论切入,没有框架流程指点,掰开细聊,不要说客户,其实任何人都没办法关注到这部分咨询业务的核心。V1.0的图,画的时候还并没有结合金融行业实际安全建设来做。但是COVER到了客户方的顶层设计、业务战略规划、管理章程、项目章程。这部分战略、章程实际与安全体系建设的关联度(举个例子:比较类似数字化转型、十四五规划和安全体系建设咨询项目之间的关系,是一种参照依据且互相独立的关系,如果第二项要开展,要去参照第一项咨询设定的大架子,但做的东西是完全没有关联的。)
这部分(安全战略/目标制定)我在深度思考后,还是放到了顶层作为了落地模块,其实是审计层面的东西,但是做安全体系咨询建设,保障业务战略一致性一定是第一位,只有引导客户围绕业务战略构建安全战略的目标来做,咨询项目才是可落地且能获得合理资源支持的。
和客户这段说完,前面还去聊了为什么要做安全咨询,是思考构建了流程,以最通俗、精简方式直接引导安全咨询方向及思路应如何设定并有效执行。
图:安全咨询方向及思路应如何设定并有效执行
再后面的部分就是将具体安全体系建设咨询所需的每个模块的项目调研、专题建设、流程、差距分析等一系列的东西做了落地输出及呈现,这部分可以做的方法其实特别多,也并没有哪一种是绝对正确的,最终的目的还是要看客户需求,咨询确实是双向沟通,到此阶段,其实目前虚构的此项目还未拿到客户实际反馈的需求,只是需求关注于了安全体系建设(所以杠精们,不要下面杠什么提的点少东西不足不全面等,一方面是方法,另一方面仅到了现在的阶段,友善理解)。
2nd交流结束,客户反馈关注安全体系建设,框架性,云先不考虑,专项安全关注数据安全建设(其实到这个阶段维度,安全咨询的需求引导算是具有了一定效果的)。
V1.0之后,又画了两张安全体系建设架构图,一画一构建,这回在看了很多东西,做了深入思考后,已经不像第一张图一样了,能看出有了对标和参照(有奖竞猜,看看对标对了谁)
V2.0-安全体系规划 –安全建设体系咨询落地模块(改进)
到了V3.0,其实和V2.0也差不多,最终定了框架和思路性质的内容,点也引导到了,就有了V3.0。
V3.0-安全体系规划 –安全建设体系咨询落地模块(建议讨论稿)
接下来安全体系建设咨询建议书基本上也可以草拟了,大概如下:
3 金融安全体系规划设计需求及必要性
3.1 金融商业银行指引和监管应对策略
《JRT 0072-2020金融行业网络安全等级保护测评指南》标准规定了金融行业对第二级、第三级和第四级的等级保护对象的安全测评通用要求和安全测评扩展要求。适用于指导金融机构、测评机构和金融行业网络安全等级保护主管部门对等级保护对象的安全状况进行安全测评。为金融行业网络安全等级保护测评工作提供指导,可参考本标准对金融行业网络安全等级保护对象的安全状况进行测评、自查和评估,进一步完善了金融行业网络安全等级保护体系。
应对策略将结合《JRT 0072-2020金融行业网络安全等级保护测评指南》落实方案中的安全体系框架及安全规划内容,包含安全技术规划设计、安全管理规划设计内容。
针对《JRT 0071-2020个人金融信息保护技术规范》目的在于加强个人金融信息安全管理,指导各相关机构规范处理个人金融信息, 最大程度保障个人金融信息主体合法权益,维护金融市场稳定。应对策略一方面结合个人金融信息保护技术规范中规定的个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。
应对策略针对《JRT 0071-2020个人金融信息保护技术规范》要求,参照本方案中的“安全规划内容-数据安全专题设计”落实数据全生命周期管理,进而满足个人金融股信息保护技术规范。同时,在个人金融信息保护技术规范所要求的个人信息保护方面,应结合个人金融信息类型(账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息、其他信息)等提供完善的防护方案,内容包括:
图:JRT 0071-2020个人金融信息保护技术规范-信息属性定义
3.2 业务及安全战略一致性
为有效实现安全体系建设咨询项目顺利落地,应在安全体系建设咨询项目开始前,明确安全战略目标并实现业务及安全战略一致性,具体包括:
1)安全战略制定:安全战略建设制定前提应遵循业务发展阶段及业务战略目标,安全战略目标制定应围绕业务战略目标要求进行有效制定,更好的辅助业务战略落地及发展(例如针对业务连续性、业务灾备、业务数据安全性保障等方面综合制定安全战略)。
2)落地性保障:围绕业务战略目标所规划设定的安全战略目标,因其贴合于业务发展规划设计,因此在安全体系建设咨询项目的可用性、组织内外的项目推动性方面存在巨大优势,为安全体系建设落地性提供必要保障。
3)资源获取支撑:有效的安全体系建设,在项目章程构建、项目启动及项目实施过程所需的组织架构高层领导及利益相关方的有效配合,协助安全体系建设咨询方提供必要的安全体系建设资源获取支撑,将为顺利落地安全体系建设框架工作提供必要支撑及保障。
3.3 金融安全资源投入规划
数据中心规划【省略,主要为安全建设现状描述】
安全资源投入具备安全产品投入、周期性的信息安全服务、风险评估及安全态势感知监测、安全资产的保障应用。但存在面临新数据中心搬迁后,现网经过未来3-5年内逐步迁移过程中如何确保有效的安全防护建设。同时网络设备、安全设备,目前无法进行合理化使用。采购、购置必要的安全产品、安全服务无有效的参考标准及安全资源投入规划基线及指标依据。信息安全管理工作仍可能存在着不能满足《网络安全法》和相关监管部门相关要求之处,也存在着新的法律法规提出的新风险。在现有的信息安全管理制度有待完善,缺乏信息安全建设规划和实施步骤,企业信息安全工作缺乏明确的目标、方向和详细工作指引。
4 安全体系规划设计框架-框架定义
4.1 安全体系框架-设计模型
依据安全建设现状、新数据中心安全需求及3-5年蓝图发展目标的概述,实现定制化安全体系建设框架设计“安全体系建设-咨询整体框架图 V1.0”(图2-讨论稿)。作为第一版安全体系建设咨询项目有效落地重要参考依据,方便理解安全体系建设咨询流程、咨询内容、资源任务分配方面内容,框架图中流程、任务、评估维度以不同颜色模块呈现,并对安全合规性参照、安全体系建设咨询框架设计及服务流程、安全体系框架实践方针进行详细划分,具体如下:
图:安全体系建设-咨询整体框架图(讨论稿)
深绿色(TOP层):合规性安全参考标准,针对数字化转型战略方针,国家、金融行业安全法律法规、标准作为合规性依据,目的在于确保安全体系建设框架设计落地性同时,实现落地、合规性的有章可循。
浅绿色:浅绿色作为客户方需针对安全体系建设咨询框架设计方提供的理解及输入模块部分,一般以相关模块客户方已有的输入材料作为依据。一方面便于安全体系建设咨询方提供咨询方向选择建议;另一方面,作为安全体系建设咨询项目顶层规划中-宏观方向参考指南及依据,实现基于项目客户方、安全体系建设咨询规划方对咨询项目理解双向的一致性,以及安全体系建设框架设计输出模块部分的落地性及价值交付。
橘色:橘色作为安全体系建设咨询框架设计方的输出流程部分,此部分对安全体系建设咨询方提供的咨询服务流程阶段进行定义。
蓝色:蓝色作为安全体系建设咨询框架设计方的输入部分,此部分输入作为安全体系建设咨询项目的具体价值交付部分呈现,确保安全体系建设咨询项目的落地性实施、操作及价值交付。
黄色:黄色作为安全体系建设咨询框架设计方在框架设计实践阶段,所遵循的最佳实践方针指南参照。即有效指导项目落地及价值交付,说明安全体系建设咨询的框架设计是基于战略一致性、价值交付、风险管理、资源管理、绩效评价五项方针实现框架设计落地性的保证的。
5 安全体系规划设计-详细设计
基于上面安全体系规划框架可以定出整体的每个部分要做的内容及层面了,因此在设计的时候除了将上面的框架进行细化后,同时结合体系框架的核心做具体的描述及输出(篇幅比较多,我也懒你们能看懂上面框架,其实把这部分细化只是粒度的问题,后面会单独放一篇:体系规划设计细节应该如何落地及规划?)
6 金融咨询CASE初探-“实践出真知”总结
金融行业安全体系建设咨询这个项目,实际上做了以下思考及尝试,在此也作些说明:
1、为什么要去关注客户业务战略:顶层的东西除了合规性参照外,战略这些层面的东西一定要站在甲方/客户立场,协助甲方理解安全咨询体系建设这件事,要想做好,一定是要符合业务安全战略一致性,这样才可牵头让相关高层领导、利益相关方重视认同,十分重要。所以一个安全咨询顾问,如果不懂业务战略、安全战略的高度,加之无法决断、决策及巧妙引导,可能连售前阶段都没办法立足,而最终交付,这项目肯定稀碎。
2、在金融初探的“CASE”我选了什么体系最佳实践:这个case我选择的是一套很通用的体系建设框架,研究后发现,完全不能照搬到安全体系建设咨询来做,安全其实只是这个体系里面很小的一部分,但是思想方法我做了改良及借鉴,也加入了客户的需求在。
3、为什么安全还要考虑参与的角色和所谓的组织架构:为什么说组织架构重要,因为安全的基础是围绕业务去设计的,做不好组织架构参与方选择,一个安全咨询项目就会做不好。因此,我所设计的框架里建议参与角色如下:
重要组织方:金融信息科技部
利益相关方(包含高层领导及定义包括工作内容涉及并具备信息安全风险管理、安全运维管理及操作责任人员、安全开发人员、),参与对象具体包括:
安全风险管理:安全规划审计机制负责组织,安全运营维护室、系统规划与风险管理室等三项风险管理部门负责及执行人员。
安全运维管理及操作责任人员:系统、网络管理人员和数据操作提取人员(涉及数据库访问)操作的相关人员。
安全开发人员:针对内部及外部业务系统、APP、互联网金融等相关业务系统涉及安全业务发布、业务数据变更的开发、测试负责人(包括第三方开发人员)。
业务职能部门责任人:涉及内外部重要业务的身份验证管理、访问控制管理、数据安全(数据库操作:增删改查)例如卡中心、电子银行、网银、互联网金融等业务职能部门负责人。
3、做安全体系咨询建设相比于传统安全服务做的体系建设/等保的评估差异性:实际上是完全不同的维度,治理、管理、检查,咨询做的是将这三者串起来系统化的获得最大收益,安全服务做的是管理最大化收益,而检查做的则是合规性的最大化收益(这部分也很有意思,有空细聊,bye)。
PS最后:多指正多讨论,言论自由,写稿输出不易,初衷Freebuff是为了收获讨论及交流,有更多安全关注、安全咨询建设的小伙伴们加入一起友善沟通。
友善沟通,Love and Peace.
来源:freebuf.com 2020-12-18 21:51:17 by: SssCoo1
请登录后发表评论
注册