本文讨论了信息安全团队在运维部门下可能面临的挑战,如难以触及研发和数据安全层面,并指出在金融行业,信息安全部门应与风控或稽核部门同级,以更有效地推动整体信息安全。安全部门的项目制与运维的运营方式在绩效考核和资源申请上存在差异。高层的战略支持对于直接推动安全建设至关重要,可以降低内部阻力。
这几天,有客户向领导做汇报向我提了一个很有意思的问题,在我甲方的从业经验中真真切切的就体验了安全团队独立的过程,所以也就有了一些见解。记录下来
- 信息安全划在运维的话,1.很难去做研发方面、数据层面等更高层面的安全,2.如果运维leader的安全意识不足的话,工作风格基本只会倾向于不出事,很多安全要求很难落地。
- 对于金融行业来说,信息安全部门主要管控金融科技风险,最好能与稽核部门或者风控部门同层级,共同汇报委员会或者管理层,有利于公司整体信息安全推动
- 安全部门的工作大多数都是以项目方式开展,运维部门的工作大部分为运营方式开展,在绩效考核、经费申请等方面都会受到差异的限制。
- 高层如果有从上而下的安全建设战略,直接推动安全部门会比推动运维部门下面的安全部门更高效,降低内耗。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
