暂无图片
暂无图片
暂无图片
暂无图片
暂无图片
首页 / 一张神图,专治甲方安全“精神内耗”

一张神图,专治甲方安全“精神内耗”

特大号 2022-08-04
279

话说那天

小黑羊猛然看到一张“神图”

刷爆了整个安全圈,各群都在热议


这张图的名字叫做

【基于行业最佳实践的安全保护框架】

凝聚了数十位产业、行业安全专家

多年的实践经验与集体智慧

毫不夸张地说,此图出炉

可以大大减少

甲方安全建设和运营中的“精神内耗”

因为,这个「安全保护框架」

高度总结了行业共性经验!

高度总结了行业共性经验!

高度总结了行业共性经验!

有的甲方大佬看完评价说
“能看到的豁然开朗,能看懂的一流高手”
而我安全圈的老朋友“老G

正好参与了这张神图的研究工作

他神秘地告诉我

“这图,价值百万”

本来我是半信半疑的

但听完此图的来龙去脉、详细解读

我才明白,这张能治甲方安全内耗的图

不光值100万,甚至是200万



这张图有何神奇之处?

对甲方来说,它价值100万

如今在甲方搞安全

精神内耗”可太厉害了

不信你看看这测试仪

很多时候甲方压力比乙方还大

为何会这种焦虑感?大家都懂的

一方面国际网络安全形势日益严峻

另一方面国内监管要求密集出台

对于负责重要信息系统的大甲方来说

感受到前所未有的双重压力


在这样的“重压”之下

所有的安全运营单位都意识到

传统单维视角无法应对当前复杂环境

需要建立顶层以及全局视角



这时候,就要有一套方法论

把各种要素提纲挈领、归纳总结

形成一张安全防护体系建设蓝图

然后,大家就可以按图索骥,查漏补缺

用来对齐资源或者指导安全建设

只要标准统一、规范统一、语境统一

就可以减少“内耗”,加速落地


这样的方法论、保护框架

国外其实有一大把

也都挺有参考借鉴的意义

但是直接套用到国内重要信息系统上

就有点不太适用了


于是,一批安全专家学者聚集起来

扛起了这个担子

他们的目标是面向重要行业和核心商业

推出一套符合国情和行业需求的保护框架

指导安全运营者未来3-5年的安全建设、管理和运营工作


这张安全保护框架图汇集了

行业实践力量+产业研究力量

的经验与智慧

安全圈著名大咖“谭校长”

对该框架给出了非常肯定的评价


“谭校长”还亲自现身说法

为大家详细介绍了

这版《安全保护框架》的创作背景

为什么行业里,需要这样的神器

结合谭校长的视频,我们再来看看
这神图具体如何帮甲方治“内耗”

首先,安全圈从业者分三大层级
(监管部门、安全运营单位、安全产业界)
这个神图的使用对象
聚焦在广大「安全运营单位」
集中解决他们的困惑和问题

安全运营单位的每种角色

都能在框架中对号入座、解决焦虑

同时,向上可以应对监管与合规要求

向下,更好地导入产业界的产品方案

干说没意思,我们来看图说话吧

逐层拆解一下这张大图

看看这图到底应该怎么用

(我做了个简图,点击可以对照原图



继续逐层拆解一下

整个框架按照

1-3-3-4”的架构来组建


先看「1个顶层指引」


顶层指引相当于一个“大帽子”

是国家安全观自上而下的传递

在实际安全建管运过程中

必须要跟相关指引对齐


再看「3个安全体系」

在对齐顶层指引的基础上

就需要建立三个安全体系

①技术体系②管理体系③运营体系

它们就像维系安全工作常态化运作的齿轮

要保证每个齿轮的“完整性”和“咬合度”

管理体系和技术体系是两个抓手

需要不断强化要求,提升能力

向上与运营体系相融合

向下延伸到供应链安全

这部分能力放到整个大框架下

如同“任督二脉”,打通即可落地




接下来「3个保护层次」

这三个保护层次

分别解决不同层面的安全问题

最底层合规基础保护层关注供应链安全与合规安全

这相当于安全大厦的根基

地基要稳、城墙要厚、护城河要深

同时粮草充足、后勤完备、辎重丰富


在夯实基础层之后

上面两层的能力建设也非常重要

“指挥层”强调多兵种协同作战

(组织内部、监管部门、行业主管、行业单位)

“实战层”强调高阶产品组合和响应策略

精准打击,快速处置

对各类核心资产进行全面保护



最后「4个重要支柱」


最后,再依托4个“支柱”

把整个安全大厦支棱起来

安全常态化背景:平战结合一体化。平时夯实日常工作,做好基础合规,重点强化;战时侧重上下信息共享、指挥协同、预警通报。组织机构转换、流程精简快速。
安全业务化趋势:看管监控一体化。看清全局关键资产、风险;管好保护对象边界、权责;监好安全事件处置全过程;控住全局安全防护底线。
资源保障:确保战略层-组织层-资金层持续保障。
能力提升:提升业务洞悉能力,匹配业务愿景和发展步调;具备四同步能力(同步规划、同步标准、同步建设、同步使用);提升安全软硬实力(意识、人才、平台)。


这张保护架构图内容太丰富
我实在无法一一道来
大家可以点击下图的不同区域
查看图文细节


如果大家看图还是吃力,没关系
这套保护框架的领衔出品人之一
PCSA的首席专家“老G”
通过视频,进行了详细的拆解
看完视频,保证通透




这么说吧,这个《安全保护框架》

既有战略高度,又具备可落地性

让安全运营单位不同角色各得其所

早达标,治内耗重实战,可落地

少走那些弯路,带来的价值是百万级的

虽说“价值百万”

但这个“保护框架”却是完全免费的

作为一项学术研究成果,它更像开源软件

来源于行业,回馈给行业

这张图的诞生过程,也很有故事


安全保护框架是如何诞生的?

主创团队付出的心血,也值100万

之前我们就讲过,这个框架背后

凝聚了数十位行业、产业专家的努力

蓄力构思三年、精雕细琢半年,终成


不仅参与人员众多

这张图的迭代过程也极其曲折

从3年前构思,到半年前下手

从无到有,反复“折腾”

(研讨、评判、推翻、重来、修订



这里面尤其要深扒一下的

是这张图的核心主创团队

PCSA能力者联盟

PCSA成立于2016年,由45+成员单位组成,包含信息安全测评机构(3家)、IT安全服务商(7家)、安全能力者(27家安全厂商)、云服务商(3家)以及多家信息安全研究机构、信安媒体和培训机构。


安全能力者联盟的目标

就是聚合中国关键安全能力

赋能数字智能时代

持续为用户打造安全中枢

而这次的《安全保护框架》神图

就是聚合+赋能的代表作

作为核心主创团队

PCSA的研究员们付出了大量心血

时间、经验、热情、耐心、专业度以及脑细胞



最终,这份汇聚了数十位专家心血

对齐标准/法规、博采众长、沉淀经验的神图

终于横空出世

获得产业界和行业领域的广泛认可



当然,他们的研究成果远不止这神图

2016-2022历时5年沉淀

PCSA累计生态化对接安全能力166个

覆盖19大安全领域,43种安全能力类型

汇聚网络安全能力多源关键数据

赋能多个重要关基行业

通过这种汇聚+赋能的方式

PCSA先后打造了

一系列爆品共性平台

《数字化资产关联基础库》、《数字化安全能力基础库》、《数字化风险情报基础库》、《网络安全日常管理及运营平台》、《一体化对抗蓝方平台》、《战略决策协同指挥平台》、《云安全一体化综合服务平台》、《数据流动安全监管平台》、《第三方供应商与应用开发代码安全管控平台》…
这其中,最具炸圈效应的

当属“三年三图”



如今,国内网络安全建设

已经从合规驱动转向实战驱动

PCSA持续协同中国关键安全能力者

打造共生平台,解决共性顽疾、共性问题

与全行业一起,迎挑战,治内耗!

神图内耗信息安全网络安全
文章转载自特大号,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

评论