在攻防領(lǐng)域，防守方天生就處于一種劣勢(shì)地位，要利用有限的資源去對(duì)抗無(wú)限的未知威脅。在安全活動(dòng)中，你是在充當(dāng)救火隊(duì)員呢，還是將安全流程正式規(guī)定下來(lái)，在面對(duì)威脅時(shí)，有條不紊、不動(dòng)聲色地化險(xiǎn)為夷呢？

　　目前，很多安全負(fù)責(zé)人都在著手制定2021年的安全管理規(guī)劃。以流程為中心的安全管理方法，可以有效提高安全管理的效率與有效性。但企業(yè)安全負(fù)責(zé)人該如何做好流程管理呢？主要分三步：

　　制定一個(gè)安全流程目錄，闡明預(yù)期要實(shí)現(xiàn)的流程狀態(tài)。

　　根據(jù)安全流程目錄及企業(yè)自身的資源狀況，有選擇地確定安全流程的優(yōu)先級(jí)。

　　對(duì)于已經(jīng)確定要優(yōu)先制定和實(shí)施的安全流程，要通過評(píng)估現(xiàn)有流程、職責(zé)劃分、正式規(guī)定以及資源分配等步驟正式將這些優(yōu)先流程規(guī)定下來(lái)。

　　制定安全流程目錄

　　要進(jìn)行有效的安全流程管理，首先需要制定一個(gè)安全流程目錄，確定未來(lái)2-4年內(nèi)要實(shí)施并逐漸發(fā)展成熟的安全流程。下圖列出了一個(gè)詳細(xì)的信息安全流程方案模型。

　　圖1：安全管理流程方案模型示例

　　治理流程——安全治理流程可確保采取合理、適當(dāng)?shù)拇胧?，以最有效、最高效的方式保護(hù)組織機(jī)構(gòu)的信息資源，以實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)。盡管治理流程是整體安全流程模型的一個(gè)組成部分，但通常不歸安全部門負(fù)責(zé)。

　　規(guī)劃流程——規(guī)劃流程往往是周期性的，而不是連續(xù)性的，通常涵蓋與組織機(jī)構(gòu)的安全計(jì)劃管理相關(guān)的戰(zhàn)略活動(dòng)，包括戰(zhàn)略制定、年度計(jì)劃、安全架構(gòu)設(shè)計(jì)等。

　　構(gòu)建流程——構(gòu)建流程與建立安全生態(tài)系統(tǒng)有關(guān)，包含控制措施與策略管理、流程管理和系統(tǒng)集成三個(gè)相互關(guān)聯(lián)的流程。

　　運(yùn)營(yíng)流程——運(yùn)營(yíng)流程包括支撐安全團(tuán)隊(duì)與組織機(jī)構(gòu)其余團(tuán)隊(duì)之間關(guān)系的流程（交互流程）和那些日常安全管理流程（防護(hù)流程）。

　　上圖所列的安全流程管理方案內(nèi)容很詳細(xì)，涉及到的具體實(shí)施流程范圍廣泛，更適合于具有相對(duì)成熟的安全計(jì)劃的大型組織機(jī)構(gòu)。對(duì)于安全計(jì)劃尚處于早期階段或資源受限的組織機(jī)構(gòu)，可重點(diǎn)關(guān)注運(yùn)營(yíng)流程中的防護(hù)流程。

　　確定安全流程的優(yōu)先級(jí)

　　對(duì)于大多數(shù)組織機(jī)構(gòu)而言，將安全流程正式規(guī)定下來(lái)，并一定要從頭開始確定和實(shí)施安全流程。相反，這需要根據(jù)現(xiàn)有流程所處的發(fā)展階段和成熟度情況進(jìn)行修改、調(diào)整。

　　幾乎沒有一家企業(yè)可以立即實(shí)施整套流程方案。更現(xiàn)實(shí)的方法是對(duì)各安全流程進(jìn)行優(yōu)先級(jí)排序，分階段地正式實(shí)施安全流程。在確定各個(gè)流程的優(yōu)先級(jí)時(shí)要考慮的因素包括：

　　哪些安全流程是組織機(jī)構(gòu)實(shí)現(xiàn)最低安全標(biāo)準(zhǔn)所必不可少的。

　　可以更新和改進(jìn)哪些現(xiàn)有流程和活動(dòng)。

　　對(duì)于那些明顯解決了重大風(fēng)險(xiǎn)的現(xiàn)有流程，應(yīng)優(yōu)先將這些流程正式規(guī)定下來(lái)。

　　應(yīng)優(yōu)先考慮在短期內(nèi)能夠顯著改善風(fēng)險(xiǎn)管理的新流程構(gòu)想。

　　是否有所需的知識(shí)和技術(shù)資源將特定流程正式規(guī)定下來(lái)。

　　信息安全計(jì)劃的當(dāng)前階段和成熟度（在還沒有適當(dāng)?shù)闹卫砗徒M織功能的時(shí)候，就嘗試實(shí)施安全體系結(jié)構(gòu)流程，效果可能適得其反）。

　　正式規(guī)定安全流程

　　對(duì)于特定流程，第一步是確定流程所有權(quán)，然后開始對(duì)各個(gè)流程進(jìn)行記錄。流程的正式制定過程應(yīng)包括以下內(nèi)容：

　　流程說(shuō)明——概述流程目標(biāo)和范圍。

　　流程圖——包括構(gòu)成流程的子流程與活動(dòng)之間工作流程。開始時(shí)，這可能是一個(gè)簡(jiǎn)略的模型，以后可以根據(jù)需要將其分解含有更多詳細(xì)信息的多層次模型。

　　圖2：安全事件響應(yīng)流程示意圖

　　集成矩陣——展示集成點(diǎn)以及與其他安全、運(yùn)營(yíng)和服務(wù)管理流程之間的相互關(guān)系。除了流程之間的集成點(diǎn)外，集成矩陣還應(yīng)指出構(gòu)成該流程的其他流程（例如，風(fēng)險(xiǎn)評(píng)估流程是業(yè)務(wù)連續(xù)性管理流程的一個(gè)關(guān)鍵部分）。

　　圖3：流程集成矩陣示意圖

　　技能和人員配備需求——表明該流程所需的直接和間接人力資源的數(shù)量和性質(zhì)。如果組織機(jī)構(gòu)內(nèi)沒有所需的技能或資源，則應(yīng)重點(diǎn)突出一下。

　　角色和職責(zé)定義——確定有助于流程的特定組織職能以及這些職能的各自職責(zé)。這通常是通過職責(zé)分配（RACI）矩陣來(lái)實(shí)現(xiàn)的。

　　用指標(biāo)來(lái)度量和跟蹤流程績(jī)效——運(yùn)營(yíng)型或管理性更強(qiáng)的流程（例如，用戶配置）比戰(zhàn)略流程（例如，風(fēng)險(xiǎn)管理）更適合采用指標(biāo)來(lái)衡量。流程指標(biāo)包括進(jìn)行訪問控制更改時(shí)的服務(wù)請(qǐng)求周轉(zhuǎn)時(shí)間，或補(bǔ)丁程序管理流程時(shí)的平均關(guān)鍵補(bǔ)丁程序?qū)嵤r(shí)間。

　　自動(dòng)化——確定有哪些流程組成部分可以通過技術(shù)自動(dòng)化實(shí)現(xiàn)。

　　哪些安全流程必須要做？

　　某些流程對(duì)于有效管理安全至關(guān)重要，通常被認(rèn)為是最基本的安全實(shí)踐。雖然這些流程并不是成熟的安全計(jì)劃所需的全部流程，但卻是滿足基本安全標(biāo)準(zhǔn)必須實(shí)施的基本流程。

　　下面六個(gè)流程是企業(yè)安全的核心，通常是由CISO負(fù)責(zé)，其中某些內(nèi)容可能不是由安全團(tuán)隊(duì)執(zhí)行，但應(yīng)該由CISO負(fù)責(zé)管理。

　　安全治理：由功能和流程組成，可確保采取正確的措施來(lái)平衡保護(hù)組織機(jī)構(gòu)的安全和業(yè)務(wù)經(jīng)營(yíng)的需求。

　　策略管理：確定并記錄了企業(yè)在安全風(fēng)險(xiǎn)方面的特定情況，必須對(duì)這些風(fēng)險(xiǎn)加以控制才能滿足企業(yè)的風(fēng)險(xiǎn)偏好

　　宣傳教育：通過宣傳教育可以在一定程度上提高安全意識(shí)，幫助重塑更加安全的企業(yè)文化

　　身份與訪問管理：對(duì)用戶在組織機(jī)構(gòu)的整個(gè)生命周期中對(duì)用戶身份和訪問進(jìn)行的系統(tǒng)化管理，包括管理、訪問（即身份驗(yàn)證和授權(quán)）和情報(bào)（即審計(jì)和分析）等一系列流程。

　　漏洞管理：識(shí)別、評(píng)估和解決企業(yè)中安全漏洞的流程，重點(diǎn)在于組織機(jī)構(gòu)的技術(shù)基礎(chǔ)設(shè)施上

　　事件響應(yīng)：事故造成的損害程度在很大程度上取決于響應(yīng)的質(zhì)量，因此，至關(guān)重要的一點(diǎn)是要有一個(gè)良好的事件響應(yīng)流程

　　寫在最后

　　面對(duì)攻防領(lǐng)域天然不對(duì)等的狀況，在企業(yè)規(guī)模較小、安全防御體系發(fā)展并不健全時(shí)，采取臨時(shí)的救火策略可能是不得已的權(quán)宜之計(jì)；而隨著企業(yè)業(yè)務(wù)發(fā)展壯大、全防御體系發(fā)展日趨成熟，安全負(fù)責(zé)人應(yīng)該考慮更有效的安全管理方式。以流程為中心的安全管理方式，能夠有效提高安全管理的效率與有效性，應(yīng)該是企業(yè)安全負(fù)責(zé)人在進(jìn)行新一年的安全管理規(guī)劃時(shí)不容忽視的一個(gè)重要環(huán)節(jié)。

　　本文從一個(gè)詳細(xì)的安全流程方案模型出發(fā)，介紹了組織機(jī)構(gòu)應(yīng)實(shí)施的四大類安全流程——治理流程、規(guī)劃流程、構(gòu)建流程和運(yùn)行流程，然后描述了如何確定這些流程的優(yōu)先級(jí)，如何正式規(guī)定這些流程，最后指出了組織機(jī)構(gòu)要滿足最低安全標(biāo)準(zhǔn)應(yīng)該實(shí)施的安全流程，希望能夠通過有效的安全流程管理，提高企業(yè)安全防御系統(tǒng)的有效性。