其实还没毕业的时候会有过这个想法,当然现在也有,不然关注这个干嘛,或许以后会变也不一定,或许想去创业,或许只是想一直搞技术,玩出自己想要的就好了。
当时想的是其实比较简单,就是知识面比较广,又有管理能力,那么就可以了。那我们看看作者说得东西,我再去跟进。
业务理解与赋能
这个不错的,你对你保护的对象都不了解,你搞毛的安全啊。无论什么东西,只有你了解了,你才能够做得好,我觉得这都是源于一个道理:量变到质变,只有量达到了,质才能发送,了解的量足够多,才能做出成绩来。赋能这个词就用的有点玄乎了,这个我听到的比较多的是那些商业节目,互联网大佬的演讲。“赋能”最早是积极心理学中的一个名词,旨在通过言行、态度、环境的改变给予他人正能量。而其实发展到商业,应该叫赋能授权好点,意思就是授权给企业员工——赋予他们更多额外的权力,或许他们可以创造出更多价值。好像说远了。。。
安全治理与战略规划
- 战略一致性:信息安全的战略与重点应该与业务的战略、布局、拓展等能力需求保持一直,这肯定要对业务的充分了解了
- 价值:这个确实,假如一个东西没价值,你花钱做他干嘛,你的工资也是由你的价值决定的,一个基本的价值是让当前公司更安全,业务更有保障,更牛逼的像BAT还可以将自己的安全能力输出,
- 风险:这个还是安全的问题,直接抄一段:以业务与风险为导向,以威胁为驱动手段,从管理、技术、人的纵深;从业务自身能力、安全风险管控能力、安全监督审计能力的纵深;从业务外延领域、虚拟边界领域、核心能力领域的纵深,进行全面安全风险整合优化,提升感知、管控、处置、迭代能力。
- 资源投放效率:该找几个人合适,这是一个值得思考的问题,哈哈,上年看到很多一个人的安全建设的文章。
- 度量评价:这个评价我觉得安全团队内部有个评价,做出的安全贡献,安全能力等评价,另外对其他部门有个评价,这个部门的产品的漏洞数多少,高危几个,中危几个,修复情况,修复效率等,感觉这个会被其他部门挨骂啊。。。。
安全风险管理
ISO13335没接触,估计没到那个位置都不会接触了
这个也就只能抄点过来了
参考的方法包括企业全面风险管理、COSO-ERM、ISO31000等国内外最佳实践要求。
本着安全风险以终为始(Begin with the end in mind)的目标,总结了五大常见安全风险目标分类,仅供参考。
核心资产
持续业务能力
资金相关
合规、归零
声誉、商誉、品牌
安全技术与架构
其实架构以前会觉得是很高大上的东西,因为当年了解到架构师的工资很高
现在觉得的话是你非常了解一个东西,那么你就知道怎么去构建这个东西
安全的话也是:
产品的攻击面,每个攻击面的安全怎么设计
物理攻击的防御
安全管理
这个不熟悉,直接抄点
曾经江湖传闻安全有各种流派,其中有一门为管理标准派,独门秘笈为“BS7799、ISO17799、ISO27001“
安全管理不简单等同于体系标准,根据公司的情况与管理风格,一个公司安全管理规范可能能够覆盖大部分常见的场景,这样就没有必要马上弄一个文档制度体系。即使是需要构建管理体系,在各个方向上的发力点也是不同的,可以从几个最急迫、最痛的管理诉求开始,如公司账号、权限管理要求、数据保密制度等等,在业务运作与安全管控之间构建一个合适的平衡体系
业务安全与风控
业务安全,包括反作弊、防刷单、黑产对抗、账号体系安全、资金交易安全等等
其实业务风控和内部控制也没说什么用处太大的东西
安全运营
这个让我想到的是src
这个也是感觉说了很多废话
我自己感觉是将之前设置好的架构什么的落实,漏洞处理落实等等
本地政府、监管理解与法律法规合规
这个当然是肯定的,怎么刚也不能和法律,政府刚啊,这样就少了麻烦事了,不就更有心思搞安全了?
安全审计
这个我感觉是安全检查吧,嘻嘻,随便乱说的
代码设审计肯定也算里面
危机管理、安全事件调查与取证
这个其实应该在架构设计的时候就是要考虑的,应急响应的演练,方案啥的
组织架构、安全意识与内部安全品牌建设
内部安全意识培训?
打造公司的安全品牌的名声?
资源管理与使用效率控制
设备买了就要用,否则就不买?