基于企业网络安全工作项目化的探究

◆朱 斌

基于企业网络安全工作项目化的探究

◆朱 斌

（广西沿海铁路股份有限公司 广西 530000）

网络安全一直以来都是企业中不可割舍的工作，在企业信息化发达的当下，网络安全工作在管理和技术方面都必不可少，安全管理工作更是重中之重。企业一般有自己的IT技术团队，或者通过购买第三方安全服务来做网络安全管理，而管理方法也是多种多样。本文是用项目化的思路来管理企业的网络安全工作，对其进行探究。

企业；项目化；网络安全；管理思路

0 引言

现今网络安全问题日益严峻，如何有效地做好网络安全工作，进行有效的安全管理，一直是企业所面临的重要问题。其中一个新思路就是引用项目的形式来管理和开展网络安全工作。

项目指一系列独特的、复杂的并相互关联的活动，它有着一个明确的目标或目的，必须在特定的时间、预算、资源限定内，依据规范完成。所谓项目管理，就是项目的管理者，在有限的资源约束下，运用系统的观点、方法和理论，对项目涉及的全部工作进行有效地管理。即从项目的投资决策开始到项目结束的全过程进行计划、组织、指挥、协调、控制和评价，以实现项目的目标。

1 安全管理项目化概述

1.1 基本要求

网络安全工作经过这几年的飞速发展，已经成为许多企业中的一项重要工作。作为企业中网络安全的管理者或执行者，有必要深入了解与关注网络安全的发展趋势和法律法规等。

首先网络安全工作的基本要求方面，企业应该考虑到自身条件，清楚企业中的从事安全岗位人员的能力，条件满足时使得安全工作最优化；若本身企业安全业务能力欠缺，在预算允许时，可通过外包给有资质的第三方安全服务团队来做。

无论在什么条件下，想做好网络安全工作，就要方法得当。项目化安全工作，对于项目来说，安全工作可看成一个长期的项目，需要组建一个项目团队，有项目经理和项目成员。项目经理可以由主管安全的领导担任，项目成员由相关专业技术人员担任。除了有相应资质的人员担任该职务外，还需考虑加入有经验的人员。项目经理制定工作目标、项目计划、监控项目过程、质量、风险等，相应的人员制定项目实施方案、配备相应的工具等等。图1简要展现了项目组织结构。

图1 项目组织结构

1.2 风险评估

风险评估作为评估企业资产风险的一种科学方法，得到了业界的认可，已写在法律律文中，同时也有相应的国家标准。

而一次风险评估工作可看作一个循环开展的短项目，即需组建风险评估团队，风险评估的架构可参考上一章节的组织框架，有需要时还可以聘请第三方技术专家组成骨干技术专家小组。作为一个项目，首先要确定评估依据和评估方法。

项目方案制定，在项目团队以建立的基础上，明确角色、职责；制定工作计划，包括工作内容、工作形式、工作成果等；计划和制定项目的实施时间与进度。

风险评估的准备工作，先是资产识别、威胁识别、脆弱性识别，通过风险评估风险计算方法评估出风险等级，将发现的风险进行处置，直到企业可以接受的范围，最后形成相应的成果报告。具体详细的方法可阅读GBT 20984-2007《信息安全技术信息安全风险评估规范》。

风险评估工作项目化是一个非常值得推荐的方式，直接购买第三方风险评估服务的工作模式也如此，企业自行以项目化的形式开展风险评估工作也基本相同。

1.3 安全集成

安全集成是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。

若企业有这个需求和能力，也可以采用项目化的形式，组成该项目组。以项目开始的团队建立、方案设计、建设实施、安全保证、运行维护，到最后的培训等，各个环节和工作都需要有相应的项目成员参与实施，由项目经理把控、监督与验收等。即企业的安全集成工作也是可以项目的形式开展。

1.4 应急响应

网络安全应急响应涵盖了安全事件发生后为维持和恢复网络而进行的一系列活动，包括准备、检测、抑制、根除、恢复、总结等六个阶段。好像看似与项目化没什么联系，但是如果也将应急响应工作看成一个临时性项目，是需要一个项目团队的。

应急响应开展应注意一些原则，如保密性原则、规范性原则、最小影响原则等。在应急响应项目前的一些准备工作，应有风险评估项目团队人员配合，进行风险评估，进行业务影响分析，并制定应急响应预案。

1.5 安全培训

安全培训可对企业中安全管理、建设、运行维护等与网络和信息安全相关的岗位人员进行开展，它是以提高安全意识、安全素质和安全技能为目的教育培训活动。

安全培训工作也是一项重要的长期的工作，毕竟按照人员管理，入职前培训是必不可少的。作为一个培训项目来讲，也需要很多工作，如需求分析、制定培训计划、培训前准备、实施培训、培训评价等。

1.6 等级测评

等级测评主要针对的是需要进行等保测评的系统，除了一些特殊行业有本行业标准外，大部分企业还是按照国家标准来开展等级测评。等级测评中应该注意风险问题，一为影响系统正常运行的风险；二为敏感信息泄露风险。项目组应提早做好等级测评风险的规避工作，等级测评过程包括四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、报告编制活动。

企业的等级测评项目组开展完此项工作，并同时做好相应整改工作，则也可邀请有资质的等级测评机构来做测评与协助整改。设立等级为二级及以上的系统，通过测评后，企业将拿到公安的等级备案证明。若企业自身无此差距测评的能力，可购买具有信息安全等级保护安全建设服务机构资质的企业的服务支持，企业内部人员与合作方共同组建项目组。

2 项目化管理要求及过程

2.1 项目化管理要求

网络安全工作若以项目化的形式开展，则企业需对项目进行科学的管理，实现组织架构、风险管理、合同管理、协调管理、监控管理、进度控制、变更管理的严格控制。

前文也简要讲述了一些项目的要求，项目管理方法也尤其重要，如要有：阶段化管理、量化管理和优化管理三个方面。使安全工作项目化之后的优势，可将安全工作能够在有限资源的限定条件下，实现或超过设定的需求和期望。

2.2 项目化管理过程

安全项目化管理中，可涉及项目整体管理、项目时间管理、项目成本管理、项目质量管理、项目人力资源管理、项目沟通管理、项目风险管理和项目采购管理等几方面。

对于企业项目化的安全工作，项目过程管控非常重要。从启动各过程到收尾各过程，需要规划和有效执行，并监控整个过程。在识别过程中，资产识别、威胁识别、脆弱性识别，每个过程都需要合理合规，规避风险，做到全过程监控。整个项目过程除了有各项管理，有一位或多位有丰富经验的项目经理也至关重要。

企业中开展安全工作，无论采用什么方式开展，管理极为重要，技术和管理需要同步进行。

3 总结

作为网络安全工作，企业有要求有责任，管理的方法、实施的方法千差万别不离其一，管理人才与技术人才，也是企业安全工作的核心资产。所有的工作均可采用项目化的形式开展，项目管理中注重目标、监控过程方法和质量、规避风险等，网络安全工作切不可盲目开展，最终可能导致企业费时费力，而安全工作成果不理想。

最后对基于企业网络安全工作项目化的总结如下：

（1）明确企业网络安全工作的要求、责任、目标和意义；

（2）风评、测评、集成、应急、培训等基本工作落实到位；

（3）采用项目化的形式开展和管理网络安全工作，各司其职、相互配合；

（4）企业注重专业网络安全人才的培养，一为管理人才，二为技术人才；

（5）优化管理方法、制定管理制度，考核制度分明，完善企业安全体系。

[1]孙强，刘新，于灏.企业网络信息安全管控平台的设计与展望[J].信息技术，2018，42(12)：57-60.

[2]黄建业.“互联网+”时代背景下企业网络安全的思考[J].网络安全技术与应用，2018(11)：83，85.

[3]崔尧.企业信息化建设中的网络安全管理问题[J].电子技术与软件工程，2018(16)：198.