基于企業網絡安全工作項目化的探究

◆朱 斌

基于企業網絡安全工作項目化的探究

◆朱 斌

（廣西沿海鐵路股份有限公司 廣西 530000）

網絡安全一直以來都是企業中不可割舍的工作，在企業信息化發達的當下，網絡安全工作在管理和技術方面都必不可少，安全管理工作更是重中之重。企業一般有自己的IT技術團隊，或者通過購買第三方安全服務來做網絡安全管理，而管理方法也是多種多樣。本文是用項目化的思路來管理企業的網絡安全工作，對其進行探究。

企業；項目化；網絡安全；管理思路

0 引言

現今網絡安全問題日益嚴峻，如何有效地做好網絡安全工作，進行有效的安全管理，一直是企業所面臨的重要問題。其中一個新思路就是引用項目的形式來管理和開展網絡安全工作。

項目指一系列獨特的、復雜的并相互關聯的活動，它有著一個明確的目標或目的，必須在特定的時間、預算、資源限定內，依據規范完成。所謂項目管理，就是項目的管理者，在有限的資源約束下，運用系統的觀點、方法和理論，對項目涉及的全部工作進行有效地管理。即從項目的投資決策開始到項目結束的全過程進行計劃、組織、指揮、協調、控制和評價，以實現項目的目標。

1 安全管理項目化概述

1.1 基本要求

網絡安全工作經過這幾年的飛速發展，已經成為許多企業中的一項重要工作。作為企業中網絡安全的管理者或執行者，有必要深入了解與關注網絡安全的發展趨勢和法律法規等。

首先網絡安全工作的基本要求方面，企業應該考慮到自身條件，清楚企業中的從事安全崗位人員的能力，條件滿足時使得安全工作最優化；若本身企業安全業務能力欠缺，在預算允許時，可通過外包給有資質的第三方安全服務團隊來做。

無論在什么條件下，想做好網絡安全工作，就要方法得當。項目化安全工作，對于項目來說，安全工作可看成一個長期的項目，需要組建一個項目團隊，有項目經理和項目成員。項目經理可以由主管安全的領導擔任，項目成員由相關專業技術人員擔任。除了有相應資質的人員擔任該職務外，還需考慮加入有經驗的人員。項目經理制定工作目標、項目計劃、監控項目過程、質量、風險等，相應的人員制定項目實施方案、配備相應的工具等等。圖1簡要展現了項目組織結構。

圖1 項目組織結構

1.2 風險評估

風險評估作為評估企業資產風險的一種科學方法，得到了業界的認可，已寫在法律律文中，同時也有相應的國家標準。

而一次風險評估工作可看作一個循環開展的短項目，即需組建風險評估團隊，風險評估的架構可參考上一章節的組織框架，有需要時還可以聘請第三方技術專家組成骨干技術專家小組。作為一個項目，首先要確定評估依據和評估方法。

項目方案制定，在項目團隊以建立的基礎上，明確角色、職責；制定工作計劃，包括工作內容、工作形式、工作成果等；計劃和制定項目的實施時間與進度。

風險評估的準備工作，先是資產識別、威脅識別、脆弱性識別，通過風險評估風險計算方法評估出風險等級，將發現的風險進行處置，直到企業可以接受的范圍，最后形成相應的成果報告。具體詳細的方法可閱讀GBT 20984-2007《信息安全技術信息安全風險評估規范》。

風險評估工作項目化是一個非常值得推薦的方式，直接購買第三方風險評估服務的工作模式也如此，企業自行以項目化的形式開展風險評估工作也基本相同。

1.3 安全集成

安全集成是指從事計算機應用系統工程和網絡系統工程的安全需求界定、安全設計、建設實施、安全保證的活動。

若企業有這個需求和能力，也可以采用項目化的形式，組成該項目組。以項目開始的團隊建立、方案設計、建設實施、安全保證、運行維護，到最后的培訓等，各個環節和工作都需要有相應的項目成員參與實施，由項目經理把控、監督與驗收等。即企業的安全集成工作也是可以項目的形式開展。

1.4 應急響應

網絡安全應急響應涵蓋了安全事件發生后為維持和恢復網絡而進行的一系列活動，包括準備、檢測、抑制、根除、恢復、總結等六個階段。好像看似與項目化沒什么聯系，但是如果也將應急響應工作看成一個臨時性項目，是需要一個項目團隊的。

應急響應開展應注意一些原則，如保密性原則、規范性原則、最小影響原則等。在應急響應項目前的一些準備工作，應有風險評估項目團隊人員配合，進行風險評估，進行業務影響分析，并制定應急響應預案。

1.5 安全培訓

安全培訓可對企業中安全管理、建設、運行維護等與網絡和信息安全相關的崗位人員進行開展，它是以提高安全意識、安全素質和安全技能為目的教育培訓活動。

安全培訓工作也是一項重要的長期的工作，畢竟按照人員管理，入職前培訓是必不可少的。作為一個培訓項目來講，也需要很多工作，如需求分析、制定培訓計劃、培訓前準備、實施培訓、培訓評價等。

1.6 等級測評

等級測評主要針對的是需要進行等保測評的系統，除了一些特殊行業有本行業標準外，大部分企業還是按照國家標準來開展等級測評。等級測評中應該注意風險問題，一為影響系統正常運行的風險；二為敏感信息泄露風險。項目組應提早做好等級測評風險的規避工作，等級測評過程包括四個基本測評活動：測評準備活動、方案編制活動、現場測評活動、報告編制活動。

企業的等級測評項目組開展完此項工作，并同時做好相應整改工作，則也可邀請有資質的等級測評機構來做測評與協助整改。設立等級為二級及以上的系統，通過測評后，企業將拿到公安的等級備案證明。若企業自身無此差距測評的能力，可購買具有信息安全等級保護安全建設服務機構資質的企業的服務支持，企業內部人員與合作方共同組建項目組。

2 項目化管理要求及過程

2.1 項目化管理要求

網絡安全工作若以項目化的形式開展，則企業需對項目進行科學的管理，實現組織架構、風險管理、合同管理、協調管理、監控管理、進度控制、變更管理的嚴格控制。

前文也簡要講述了一些項目的要求，項目管理方法也尤其重要，如要有：階段化管理、量化管理和優化管理三個方面。使安全工作項目化之后的優勢，可將安全工作能夠在有限資源的限定條件下，實現或超過設定的需求和期望。

2.2 項目化管理過程

安全項目化管理中，可涉及項目整體管理、項目時間管理、項目成本管理、項目質量管理、項目人力資源管理、項目溝通管理、項目風險管理和項目采購管理等幾方面。

對于企業項目化的安全工作，項目過程管控非常重要。從啟動各過程到收尾各過程，需要規劃和有效執行，并監控整個過程。在識別過程中，資產識別、威脅識別、脆弱性識別，每個過程都需要合理合規，規避風險，做到全過程監控。整個項目過程除了有各項管理，有一位或多位有豐富經驗的項目經理也至關重要。

企業中開展安全工作，無論采用什么方式開展，管理極為重要，技術和管理需要同步進行。

3 總結

作為網絡安全工作，企業有要求有責任，管理的方法、實施的方法千差萬別不離其一，管理人才與技術人才，也是企業安全工作的核心資產。所有的工作均可采用項目化的形式開展，項目管理中注重目標、監控過程方法和質量、規避風險等，網絡安全工作切不可盲目開展，最終可能導致企業費時費力，而安全工作成果不理想。

最后對基于企業網絡安全工作項目化的總結如下：

（1）明確企業網絡安全工作的要求、責任、目標和意義；

（2）風評、測評、集成、應急、培訓等基本工作落實到位；

（3）采用項目化的形式開展和管理網絡安全工作，各司其職、相互配合；

（4）企業注重專業網絡安全人才的培養，一為管理人才，二為技術人才；

（5）優化管理方法、制定管理制度，考核制度分明，完善企業安全體系。

[1]孫強，劉新，于灝.企業網絡信息安全管控平臺的設計與展望[J].信息技術，2018，42(12)：57-60.

[2]黃建業.“互聯網+”時代背景下企業網絡安全的思考[J].網絡安全技術與應用，2018(11)：83，85.

[3]崔堯.企業信息化建設中的網絡安全管理問題[J].電子技術與軟件工程，2018(16)：198.