整整1年前,想写一系列文章,把CSO这个岗位的工作套路总结一下,不止包括自己掌握的,也包括听到的、看到的、从别人那里学来的。核心目的很简单:总结共享、共同提升。结果后来工作上的事情一忙起来,然后也有点懒,就耽搁了。今年决定要完成这个目标,于是,提起精神来、认真做下去。
因为比较擅长写制度、写策略,所以想保持一点严谨性,先定义几个名词概念,避免读者对后续的内容产生误解。说的不严谨之处,请大家指正。
l 国家安全
根据“国家安全委员会”的相关公告和百度查询,定义为:集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系。
注意,这里用词是“信息安全”,我其实有点疑惑,按照现在的用词风格,用“网络空间安全”似乎更加合适,为什么呢?我为之找到的理由是(1)网络空间安全其实是其他层面的安全在网络空间的投射,可以被其他层面的安全概括;(2)信息安全可能更加强调对各类信息资产、关键信息基础设施、个人信息中的“信息”保护。
l 网络空间安全 Cyber
Security
按照《国家网络空间安全战略》的描述,“网络空间安全”指“国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益”(不过文中并没有这么定义,是我自己总结的)。
在网络空间里面,维护国家主权和国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和违法犯罪等工作都归于网络空间安全工作的范畴,国家层面由中央网络安全和信息化领导小组、中国国家互联网信息办公室具体负责。
网络空间安全有时候也会被称为“网络安全”,因此在内涵、解释上往往容易造成误会。狭义的网络安全通常指保护关键信息基础设施、及其他有重大社会影响的信息系统,防止被攻击、入侵、破坏、利用和窃取数据,更大比例上用技术手段来实现。
l 企业信息安全 Information Security
指企业(包括政府、各类企事业单位、社会团体)为了自身利益和所承担的社会责任,保护所管辖范围下信息的机密性、完整性、可用性(有时候还包括抗抵赖性、可追溯性)。企业信息安全的内涵分为信息资产安全、业务安全。
信息资产安全指企业内部流转的信息资产(如各类电子文档、纸件、邮件、代码、有智力成果的固件、各种数据库里的数据、系统日志、办公研发区域、核心人员等)的机密性、完整性、可用性。
业务安全指企业内部核心业务的业务目标不被内外部威胁所破坏。这里的业务目标不止包括机密性、完整性和可用性,还包括收入、利润、真实用户量和访问量等各类业务指标。在不同行业和企业,业务安全的内涵有差别。
l 数据安全 Data
Security
指各类电子数据的机密性、完整性、可用性。电子数据的典型形式包括但不限于各类电子文档、邮件、代码、有智力成果的固件、各种数据库里的数据、系统日志。我认为数据安全属于企业信息安全的一个子集,之所以会有这个子集,是因为电子数据的安全主要会通过技术手段来实现,由此就会派生出不同种类的安全工具和解决方案。
l CSO
这里定义的CSO,应该是企业内部信息安全团队的实际负责人,是信息安全业务的一线、实际负责人。至于是行政正职还是副职、副总裁还是一级部门负责人还是二级部门负责人并不重要。
后面设想的几个话题,不一定完全是我来写,也可能我会撺掇几个朋友一起来写。
l 理解信息安全工作的几种驱动方式
l CSO应该如何开展工作
l 如何评价一个企业的信息安全工作的好坏?
l 如何设计一个企业的信息安全架构和规划?
l 如何运行一个企业的信息安全管理体系?
l 企业信息安全团队人员的知识体系结构
l 数据防泄漏的体系应该如何建立、选择和运营?
l 信息安全审计体系应该如何建立、选择和运营?
l 如何满足信息安全合规要求?
l 一些靠谱的信息工具、平台推荐?踩过的坑和经验
对于“业务安全”一词,不同行业甚至不同企业将之赋予的含义都不一样。我们在小群里面展开了热烈的讨论,CMB的一位Q大拿给出了精辟的定义:业务安全就是如何平安地赚钱。
精彩,实在是精彩!