企业安全组织到底有什么用,应该怎么建?
不同阶段、不同规模、不同行业的企业,安全组织形态也不一样,比如:有些企业规模还小,可能一个兼职的安全人员就行,大企业一般会有完整的安全组织,包含虚拟组织和实体组织。
最顶层是经营管理层,一般会有一个实体部门叫总裁办或运营管理办公室,为经营管理层做具体事务的组织协调;
中间层是各BU,分为研发、营销、供应链、法律规划、人力资源等;
最末梢是部门和项目。
最顶层是信息安全管理委员会,主要负责企业信息安全治理工作的决策和议事协调的机构,一般由董事长或者分管信息安全的副总裁担任委员会主任,而央企是发了规定要求党政一把手担任网络安全第一责任人;同时,由于信息安全管理涉及方方面面,所以一定要由各专业领域(职能部门)和主业务流程的中层管理者担任委员,专业领域包括人力资源、信息化建设、物理区域、研发物料管理,主业务流程领域比如研发、生产、营销、供应链。委员会具体负责制定企业信息安全管理的顶层框架、目标和方针原则;审议信息安全规划和重大风险事项;审议重大信息安全策略的制定和修订。信息安全部作为信息安全管理委员会的办公室,主要是搭台唱戏,负责委员会日常运作支持,为各单位信息安全管理工作提供专业的技术和业务指导,提供专业的安全工具和平台。
中间层是各BU信息安全领导小组,是各企业单位信息安全工作的责任机构,应由各BU单位一把手担任组长,指定核心中层管理者担任小组成员,并任命一名综合协调能力强的中层管理者兼任该BU的信息安全总监,按BU规模大小和区域分布任命合适数量的专职信息安全主管。这里有资源的企业可以为安排专职的总监。该小组负责为该BU的信息安全管理工作推动提供所需人、财、物等资源支持;负责将委员会制定的信息安全规划和制度,结合自身业务场景制定相应的规范,并推进落地;负责组织识别该BU的核心资产清单;组织BU层面信息安全管理状况和效果进行检查和管理评审,推动改进;该小组的具体事务由总监、主管来推进,领导小组组织和成员进行评审,决议。
最末梢的执行组织,对应各部门和项目,是信息安全工作的具体执行机构,各部门、项目组的一把手是该单位的第一责任人,按部门人员数量和区域分布指定合适数量的业务员工担任信息安全专员。这里强调下一定要让懂业务的人管安全。部门具体负责按识别该部门核心资产清单,将信息安全管控要求嵌入业务流程和日常管理,实现信息安全与业务同规划、同部署、同落实;组织部门信息安全自检自查自改进。该小组的具体组织事务由信息安全专员(BP)来推进,管理者进行评审,决议,同时,管理者平时在关键业务中强调信息安全要求,就是最好的管理支持。用好这个末梢组织做事就能事半功倍,反之亦然。比如,某公司安全负责人为了快速消除高危风险,一开始采取了简单粗暴的方式,直接跟安委会汇报后下发各分子公司执行,虽然风险快速得到消减,也收获了很多的“投诉、抱怨、谩骂”。经过这次踩坑后,第二次处理类似情况的时候,安全负责人就充分利用了安全专员懂业务、与业务部门接触密切的优点,在执行措施前充分收集并采纳了各分子公司业务部门的建议。年底安全部门满意度调查的结果就非常的好。
要一致:信息安全组织架构设计要与企业的经营架构保持一致,才能将信息安全管理要求在一线落地,发挥出组织作战动员能力。
懂业务:信息安全组织成员,都要懂业务,安全是业务的一个属性,信息安全管理涉及到人、事、物方方面面,不能脱离业务谈安全,所以从人员选择上就要懂专业。同时,从组织职责上,至上而下做分解。
高站位:委员会站位要高,从企业治理架构上,委员会本质是为董事会服务的,董事会是公司的最高领导机构,负责决策公司的战略方向和监督执行层的运营。在董事会下设专业委员会,是为了弥补董事会在决策时候的专业不足问题,目的协助董事会做好专业决策,确保董事会决策的准确性。要充分发挥参谋作用,对公司的重大决策提出审议、评价和咨询意见,为董事会决策提供建议。 很多企业设立了信息安全委员会,但是一年都不开一次会,也没有具体工作,这个组织就变成了一个摆设。而好的机制流程,以及细节的设计,就能够让大家一起共建,成事为乐。比如上面提到大型科技制造企业的委员会,就有会议、评议、通报、检查、表彰等机制流程。
会议,就是定期开会(比如季度、半年、年终),由信息安全部负责人汇报全集团过去一阶段工作总结、下一阶段工作目标和规划,明确需要各单位协同事宜及任务,并邀请公司高管点评工作。这种会议的目的,一方面是邀请高管站台推动工作,另一方面也是将目标达成和工作任务分配不断复盘,跟进和组织驱动的过程。会议中会点评各单位信息安全工作水平,并对这一阶段内做出突出贡献单位表达感谢。也会安排优秀的单位进行分享,表现欠佳的单位上台发言表决心。这里需要注意一点,业务单位的发言材料,集团CSO应该提前评议,保障现场会议效果。对于参会单位/部门是否现场参会不强求,每个企业可根据实际情况选择线上线下方式。因为开会不是目的,会议的议题设计,内容呈现,演讲者要表达的思想和目标才是最关键的,从而才能达成开会想要达成的效果,当然现场开会的效果一定是最好的。
评议,就是通过线下或在线等多种不同方式,选择合适的专项议题让委员参与评审,给出意见和建议。每一次议题的评议,其实是对参与的高管和核心中层管理者进行信息安全宣传教育和达成共识的过程。所以议题的选择,一方面最好和当期重点工作或者企业治理理念保持一致性,另一方面有一定的讨论空间,如果全部一致就调不动大家的参与感和积极性。更为重要的是要在评议前找一些同盟支持自己,保障大方向不会偏离。
检查,就像企业业务风控一样,信息安全部根据评议通过的安全风险检查清单(checklist),每年组织一次集团层面的安全风险检查工作,评估各BU存在的安全风险及合规遵守情况,最终根据检查结果进行综合评分,给各BU颁发金、银、铜牌,不断推动各单位整体安全风险管理能力的提升。为了检查的公平和全面性,安全部可以邀请总部职能部门、各BU的安全BP一起组成检查小组,并就近区域交叉检查。这样也能增加安全体系内具体执行人员的参与感。
通报,就是集团内出现了安全事件,需要在集团内进行延展,并提醒集团内其他企业/单位关注,事件驱动是加强安全管理的重要措施之一。出现攻击违规泄密等需要在集团层面通报的事件,需要按照事件的一二三四等级(处罚包括法律责任/开除/绩效/降职/内部警告等),跟出现事件的业务部门安全负责人和领导达成一致,并经过严格的审批程序方可发布。这样做的目的是在通报发挥警钟长鸣的同时,也不太会影响到安全组织内部的后续合作。
表彰,企业年底会搞些表彰大会,表扬先进的组织和个人,请参会的高管给颁奖合影下,发些奖状、礼品,最好会后还同步发宣传稿,学习人民日报不断表扬群众的好人好事。毕竟大家一年忙到头,对协作的各单位,看见、肯定、表达对他们的付出和成绩至关重要(比如专项工作中做的很好的企业、检查中得到金牌的企业或有大幅提升的企业、全年工作中有创新的部门/个人)。信息安全归根结底还是一个利用技术和管理的综合治理工作,真正的本质是激发他人的善意,让各单位一起守望相助。 3、以数据分类分级工作为例,看一个实际的组织流程例
基于上面介绍的安全组织架构、机制和流程,这里以数据分类分级工作为例,来看下集团与各个单位之间具体是如何运作的。
信息安全部,作为信息安全管理委员会的办公室,是一个实体团队,有专业人员和能力。可以由这个专业部门研究相关法律法规、安全标准、同行实践,然后会同自己企业自身的商业秘密,制定数据分类分级的分级标准,识别流程和工具规划,以及推动工作的项目策划。
如果企业安全委员会运作机制比较成熟,可直接通过委员会来做项目推进的评议,言简意赅讲清楚这个工作的背景,目标。数据分类分级是信息安全管理的源头性,至关重要,定的准不准,决定管的对不对。同时,国家也在强调数据分类分级,以及数安法、个保法的立法执法,在这种管理趋势下应进行推进。同时明确做这个工作的职责和时间节点,比如信息安全部门负责数据分级的顶层标准,识别流程和工具;一线业务部门负责基于标准和流程和模板,识别业务数据,并使用工具做好标识;法律合规部门负责对国家法定的重要数据、个人信息定义、解释和指导。各委员一旦表决心,后续推动工作更加顺畅。评议通过后,应进行对评议记录和决议进行发布。
如果没有安全委员会,或者还没有常态化运作起来,建议考虑寻找公司自身的运营管理机制去推动工作。比如项目立项,企业要事上报的专项会议等来推动这个工作在较高管理层的一致认知,一旦同意就是获得了管理政策支持。
需要注意的是,在上会前一定要和主要单位的中层管理干部提前做好沟通,拉同盟,获得支持和理解,也能提前知道对方的业绩诉求或困难,从而调整好方案。上会的目的是达成共识,获取管理政策支持,资源支持,而不是把矛盾放到会上解决。这里还有一点,平时和关键干系部门多走动,多支持,才能在关键时刻获得支持。比如:某科技企业要立一个项目解决企业存在的高危风险,但涉及金额数千万,需要上升到董事会决策,安全负责人当时通过提前与安全委员会主要成员逐一沟通,并得到支持,再上会汇报。汇报过程中,某研发负责人在会上就从他的角度阐述了项目的必要性,以及他之前所在500强企业也是类似做法,最终项目顺利立项。
发布通知:通知是一个管理依据,让各单位推动工作有法可依。可以通过委员会邮箱或者企业的OA系统,向各BU信息安全领导小组发布通知,阐明工作目的、意义、各方职责、输出物、里程碑、操作指导,以及答疑的渠道。这个通知事前也应让主要干系人进行会签,让管理层签发。
项目启动会: 良好的开始是成功的一半。建议发布通知后,有必要召开项目启动会,启动会就是在执行层达成共识,同时也是一个动员大会,统一思想,开完会就要撸起袖子把活干。
项目日常管理:会议启动后,不等于工作就会顺其自然的完成,要通过周月报的分解,定期项目例会来推进工作。后续都是项目管理的一些精髓了。同时,专业部门要提供好操作指导和工具。比如数据分类分级,应该提供分级的标准,识别的流程,包括标识的工具。 大家跟着一起折腾这么久,都希望能有业绩。这时候通过宣传渠道,来表扬合作中表现优异的单位,表扬他人就是宣传了项目的业绩。这点至关重要。当然,在项目启动时我们应该想好最终会怎么做宣传来推动工作。比如数据分类分级,可以从业务单位如何认知和参与这个事情,识别的更加精准、聚焦,提供了工具来做自动化识别提效等方面来做立体的宣传。
总之,安全负责人如果能推动企业建立安全决策层、管理层和执行层的三层组织,集团的安全舞台就搭建起来了,大家可以一起唱戏。如果能把会议、评议、检查、通报、表彰等机制运作起来,集团上下就能形成共同的安全方向和原则、大家协同共建、安全投入与产出的价值达成一致、业务效率与安全效果达成平衡,安全体系将逐步走向成熟。
