网络安全管理工作是“一把手”工程,在日常工作中,向领导作请示汇报肯定少不了,而领导们往往会问我们:还存在哪些风险隐患,下一步要做哪些工作?
面对领导的疑问,部分负责人第一时间会想到找第三方进行网络安全审计或检测。这种思路无可厚非,但我认为存在三个问题:首先可能答非所问,据笔者所知,每次安全审计或检测都会发现不少问题,可这些问题可能是影响业务的、实际风险不高的、一直无法解决的,反而是给安全管理工作带来了两难抉择。其次容易浪费钱,少数第三方出于利益,导致给出的解决方案和产品报价虚高,要知道安全管理工作本来就是只投入不产出,我们能少花钱解决问题最好。最后体现不了工作能力水平,相关思路和实际行动都是第三方的,自己的本事很少体现,导致领导对安全管理人员越发不认可。
因此,笔者认为要想占据主动,就应该发挥主观能动性,建议从合规驱动、事件驱动、对比驱动等三方面入手解决问题。
一是合规驱动。安全合规是底线,国家有网络安全法、数据安全法和等级保护,行业有管理要求和技术标准,公司有多年形成的制度规范……这些相关文件大多清晰明了,自己有点相关知识基础就能够看懂。然后我们可以通过对所有适用的外部法律法规、监管要求和制度规范等进行梳理,将重要条款与实际环境进行对比(细枝末节的内容就要果断抛弃,留下最核心的),分析距离合规的差距,形成下一步工作方案。这样做的好处在于,既可以在给领导汇报时充分展示人员对制度规范的熟悉度和自身的能力水平,又能够让更权威的部门为自己背书,极大提升工作的说服力。
二是事件驱动。网络安全事件来源于两方面:一方面,不同的行业、不同的组织,每年都会安排相关的网络安全检查和整改活动,比如重保活动,一定要积极参加。另一方面,常在河边走,难免不湿鞋,我们都或多或少会受到一些安全风险事件的影响,比如恶意软件、网络钓鱼等,要以小见大,形成处理意见。同时借由上述安全事件,进一步细化风险问题清单,拉大旗做虎皮,向所有相关人员放大所面临的安全威胁和所处环境的脆弱性,从而借助外部力量来推动下一步工作。总的来说,这个方法目标明确、责任清楚、成绩显著,更容易得到领导的支持。
三是调研驱动。到处都在大搞调研,我们完全可以将提升安全管理工作能力作为一个重要课题,去各单位听听同行们的建议,分析一下先进案例,与自己进行横向对比,不出意外的话,肯定能够提炼出一些亮点,形成调研报告呈报领导,既结合实际又能体现调研工作,何乐而不为呢?