未分类
业务视角看网络安全规划
一、背景 又到了一年中总结过往规划未来的季节,差不多5年的基础安全能力建设,网络安全进入深度运营区,如何做好明年的安全规划,是我思考最多的话题。 以往的规划也做过分享,是从分工专业化的角度,对公共能力建设与安全运营进行领域划分,着眼于如何做的角度,以麦肯锡MCME相互独立,完全穷尽的方式进行工作分解,围绕着业务场景的安全风险评估,以企业风险接受程度为限进行规划,指导预算申请,沟通以及项目建设。 以往的规划遵循了网络安全战略与业务战略一致性,并且从业务角度关注业务场景中的安全需求,并从价值驱动的视角,实现网络安全与公司战略和业务发展的一致性。针对数字化业务的典型特征,在传统网络安全的基础上,更加注重数字化作业平台的研发安全管理体系,实现安全左移能力建设。围绕企业安全之外的运营安全,产品安全,提出了跳开网络安全方法论,从数据的可复制性、流动性资产特征出发,建设全流程的数据安全跟踪溯源机制,跳出企业数据安全的局限,严控数据生态合作企业数据安全能力评估与监测,以监控和元数据分析为核心,重构数据安全底层逻辑的理念与实践。围绕着2C场景的用户数据保护,电信欺诈,业务欺诈以及黑灰产对抗,
