初探供应链安全
当我遇到一个新事物之后,我的习惯不是马上去看标准、找书、问产品,而是先听听身边人的观点、看法,分析判断他们为什 …
安全运营中心(SOC)不管是只有两到三人的虚拟团队,还是配备了7X24小时的全天候运营团队,评估安全运营能力都 …
半年多前,刚入职现东家的时候,就有人问我:“咋样,金融行业和科技行业差别大不?”答曰:“过半年回答你”,现在终 …
编者按:习主席指出,“网络安全与信息化是一体两翼、驱动双轮”。在2019年5月召开的《数字中国建设峰会》上,中 …
本文不是译文,是结合笔者自身体会的解读!如有不同观点,欢迎交流研讨。本文首发于作者的个人微信公众号(“专注安管平台”)。此处发表时,勘定了原文的几处错别字,并修订和补充几处了关于CSPM和CASB的信息。
资源总是紧缺的,如何发挥安全的效率成为重点。高效改革和演进的根源就在于如何和管理层处于同一沟通频道上,用共同的语言探讨共同的目标,从单位战略角度看安全的定位,获取对安全的信任和对风险的管控,从而保证安全可以有效支撑单位业务。简单来说,就是将网络安全战略和单位战略形成一致,做到这点,安全就已经成功一大半了,剩下将框架落地就是考验基本功的时刻。
接上篇。发现金融、互联网金融、游戏行业居然也大量存在小规模信息安全团队(有时甚至只有1个人),团队形成成因、工作思路和关注点还是有显著差别,因此在上篇基础上再写一篇。有些段落和上篇差不多,只是为了保证文章完整性的需要。同时本人并未从事过金融、互金和游戏行业,只是试图做一些总结和概括,以飨读者;文中观点如能让读者参考或引发思考,目的也就达到了。请各位同行指正。本文创作过程中得到了业内人士唐勤、姚飞、杜宏保、王军军、金文佳、董黎波、谢涛的指正,一并谢过。
想写这个话题很久了。自己以前有很长时间的大团队工作经验,看各位大佬探讨交流大公司的信息安全架构和运作方法,总是有很多共鸣;这2年在一家高科技企业负责信息安全,团队最多时4人、现在就2个人,于是就一直思考小团队应该如何开展信息安全工作,应该如何基于大团队运作的方式做优化和剪裁。同时也看到,能够构建信息安全大团队的中国企业应该是少数,大量企业还是在小团队层面上运作。于是,总结提炼、共享交流小团队的信息安全工作经验成为一种必然。业内既然鲜有提及,咱就斗胆抛砖引玉。
风险评估应该算是安全服务、安全咨询,最为重要的一个组成部分,相信大部分人对它都有着难以割舍的情感。所以,今天就来聊一聊风险评估,那个曾经在安全行业里大红大紫,现在却没多少人太Care的风险评估。
本文以时间顺序,来总结一下风险评估发展的各个阶段,以及它在各时期所发挥的作用。由于各阶段时间上重叠,精确时间没办法一一考证,所以,时间只是作为一个阶段发展大致参考。
这个“CSO怎么做”的系列,到这一章算是收个尾。我一直在琢磨这几个问题:信息安全市场到底是甲方引领,还是乙方引领驱动?为什么国内很多安全产品、长期以来没有适应国内科技创新型企业的需求?
互联网企业安全建设之路任重而道远,包含的内容实在是非常的多和广,绝非一篇文章、一次分享能够说的清楚。由于本人能力有限,文中肯定有一些不足之处,欢迎大家一起探讨,共同进步。