EISS_2024企业信息安全峰会:《货拉拉信息安全实践》
- 企业安全目标设定和安全框架
- 企业信息安全组织和机制
- 技术体系建设方法
- 信息安全指标建设
- 构建安全数据和体系·
- 技术体系支撑合规治理
- 安全融入企业体系
- 内建文化,外建生态
企业安全目标设定和安全框架
要点:
1.乙方安全公司做安全的重点:
做好产品和服务。甲方公司做好安全的重点:建好体系,而不仅仅一两个安全能力或产品。(黄宇鸿 甲方,乙方都待过)
2.安全体系是为组织安全目标服务的,宇鸿人为的企业安全目标是:
合法合规、有责信息安全事件0发生。(企业有责?安全团队有责?谁是安全第一责任单位?)
3.体系框架框架包括四个部分:组织设计、技术体系、合规体系、文化和生态
企业信息安全组织和机制
要点:
1.两线或三线,多线治理架构。
2.信息安全委员会:
职能:产品安全规划、产品安全决策
委员会构成:公司高层(老板、CEO…)作为常委、业务负责人、安全团队…(全功能团队)
3.安全团队职能:监管、服务(监督、支撑、赋能)
4.信息安全团队定位:做"平台”类的工作(这个平台不仅仅说的是某个CMS系统)
5.信安BP职能:安全团队人员“下沉”到业务团队—>业务安全支撑;不仅仅是指手划脚、深入业务、业务团队的认可(避免被孤立)、
6.信息安全SSC:…(黄宇鸿并没有详说)类似ZTE的SSC软件安全小组机制?
技术体系建设方法
要点:
技术为业务服务:
阿里: 重检测、轻防御、快响应;滴滴: 可感可控、业务优先。
阿里安全制定了九字方针,即“轻管控、重检测、快响应”:
轻管控是减轻各种限制,让业务发展创新更加便利;
重检测是充分利用大数据和人工智能技术,快速地辨别和定位各种危害;
快响应则是第一时间建立防御,并进行清理或精确打击。
信息安全指标建设
要点:
1.为什么安全指标这么重要:安全的反馈周期太长、管理的多样性、环境的多样性 ===>很难看请安全能力建设的水平
2.安全指标:
a.监测类指标:覆盖率、准确率、召回率(通过外部事件、漏洞的反馈来评估内部检测…并不一定合理的指标)
b.响应类指标:MTTD、MTTR
c.服务类指标:SLA、NPS(客户满意度)
3.指标怎么做准确:安全运营线上化、通过对抗检验安全控制的有效性。
构建安全数据和体系·
要点:
资产能力构建: 把资产比作安全战场的“地图”,资产都梳理不清楚,安全工作无从谈起。
外采产品数据打通问题: 外采时需要评估产品数据、接口的开放性;云-管-端全链条要有自建的安全能力,便于数据采集和应急响应
技术体系支撑合规治理
要点:
1.从业务线角度梳理组织安全能力。(货拉拉不同业务涉及不同的行业,适用的法律法规也不尽相同)
2.标识除资产、安全能力归属于什么业务。
3.针对不同的业务分析法规、认证标准。
4.法规知识库:法规------>企业责任清单------>安全控制(技术、安全能力…)
安全融入企业体系
要点:
1.安全建设: 千企千面(根据组织的成熟度、安全团队的定位去考虑建设)
2.安全左移: 安全团队向业务团队赋能、支撑------->安全融入业务
内建文化,外建生态
