在攻防領域，防守方天生就處于一種劣勢地位，要利用有限的資源去對抗無限的未知威脅。在安全活動中，你是在充當救火隊員呢，還是將安全流程正式規定下來，在面對威脅時，有條不紊、不動聲色地化險為夷呢？

　　目前，很多安全負責人都在著手制定2021年的安全管理規劃。以流程為中心的安全管理方法，可以有效提高安全管理的效率與有效性。但企業安全負責人該如何做好流程管理呢？主要分三步：

　　制定一個安全流程目錄，闡明預期要實現的流程狀態。

　　根據安全流程目錄及企業自身的資源狀況，有選擇地確定安全流程的優先級。

　　對于已經確定要優先制定和實施的安全流程，要通過評估現有流程、職責劃分、正式規定以及資源分配等步驟正式將這些優先流程規定下來。

　　制定安全流程目錄

　　要進行有效的安全流程管理，首先需要制定一個安全流程目錄，確定未來2-4年內要實施并逐漸發展成熟的安全流程。下圖列出了一個詳細的信息安全流程方案模型。

　　圖1：安全管理流程方案模型示例

　　治理流程——安全治理流程可確保采取合理、適當的措施，以最有效、最高效的方式保護組織機構的信息資源，以實現其業務目標。盡管治理流程是整體安全流程模型的一個組成部分，但通常不歸安全部門負責。

　　規劃流程——規劃流程往往是周期性的，而不是連續性的，通常涵蓋與組織機構的安全計劃管理相關的戰略活動，包括戰略制定、年度計劃、安全架構設計等。

　　構建流程——構建流程與建立安全生態系統有關，包含控制措施與策略管理、流程管理和系統集成三個相互關聯的流程。

　　運營流程——運營流程包括支撐安全團隊與組織機構其余團隊之間關系的流程（交互流程）和那些日常安全管理流程（防護流程）。

　　上圖所列的安全流程管理方案內容很詳細，涉及到的具體實施流程范圍廣泛，更適合于具有相對成熟的安全計劃的大型組織機構。對于安全計劃尚處于早期階段或資源受限的組織機構，可重點關注運營流程中的防護流程。

　　確定安全流程的優先級

　　對于大多數組織機構而言，將安全流程正式規定下來，并一定要從頭開始確定和實施安全流程。相反，這需要根據現有流程所處的發展階段和成熟度情況進行修改、調整。

　　幾乎沒有一家企業可以立即實施整套流程方案。更現實的方法是對各安全流程進行優先級排序，分階段地正式實施安全流程。在確定各個流程的優先級時要考慮的因素包括：

　　哪些安全流程是組織機構實現最低安全標準所必不可少的。

　　可以更新和改進哪些現有流程和活動。

　　對于那些明顯解決了重大風險的現有流程，應優先將這些流程正式規定下來。

　　應優先考慮在短期內能夠顯著改善風險管理的新流程構想。

　　是否有所需的知識和技術資源將特定流程正式規定下來。

　　信息安全計劃的當前階段和成熟度（在還沒有適當的治理和組織功能的時候，就嘗試實施安全體系結構流程，效果可能適得其反）。

　　正式規定安全流程

　　對于特定流程，第一步是確定流程所有權，然后開始對各個流程進行記錄。流程的正式制定過程應包括以下內容：

　　流程說明——概述流程目標和范圍。

　　流程圖——包括構成流程的子流程與活動之間工作流程。開始時，這可能是一個簡略的模型，以后可以根據需要將其分解含有更多詳細信息的多層次模型。

　　圖2：安全事件響應流程示意圖

　　集成矩陣——展示集成點以及與其他安全、運營和服務管理流程之間的相互關系。除了流程之間的集成點外，集成矩陣還應指出構成該流程的其他流程（例如，風險評估流程是業務連續性管理流程的一個關鍵部分）。

　　圖3：流程集成矩陣示意圖

　　技能和人員配備需求——表明該流程所需的直接和間接人力資源的數量和性質。如果組織機構內沒有所需的技能或資源，則應重點突出一下。

　　角色和職責定義——確定有助于流程的特定組織職能以及這些職能的各自職責。這通常是通過職責分配（RACI）矩陣來實現的。

　　用指標來度量和跟蹤流程績效——運營型或管理性更強的流程（例如，用戶配置）比戰略流程（例如，風險管理）更適合采用指標來衡量。流程指標包括進行訪問控制更改時的服務請求周轉時間，或補丁程序管理流程時的平均關鍵補丁程序實施時間。

　　自動化——確定有哪些流程組成部分可以通過技術自動化實現。

　　哪些安全流程必須要做？

　　某些流程對于有效管理安全至關重要，通常被認為是最基本的安全實踐。雖然這些流程并不是成熟的安全計劃所需的全部流程，但卻是滿足基本安全標準必須實施的基本流程。

　　下面六個流程是企業安全的核心，通常是由CISO負責，其中某些內容可能不是由安全團隊執行，但應該由CISO負責管理。

　　安全治理：由功能和流程組成，可確保采取正確的措施來平衡保護組織機構的安全和業務經營的需求。

　　策略管理：確定并記錄了企業在安全風險方面的特定情況，必須對這些風險加以控制才能滿足企業的風險偏好

　　宣傳教育：通過宣傳教育可以在一定程度上提高安全意識，幫助重塑更加安全的企業文化

　　身份與訪問管理：對用戶在組織機構的整個生命周期中對用戶身份和訪問進行的系統化管理，包括管理、訪問（即身份驗證和授權）和情報（即審計和分析）等一系列流程。

　　漏洞管理：識別、評估和解決企業中安全漏洞的流程，重點在于組織機構的技術基礎設施上

　　事件響應：事故造成的損害程度在很大程度上取決于響應的質量，因此，至關重要的一點是要有一個良好的事件響應流程

　　寫在最后

　　面對攻防領域天然不對等的狀況，在企業規模較小、安全防御體系發展并不健全時，采取臨時的救火策略可能是不得已的權宜之計；而隨著企業業務發展壯大、全防御體系發展日趨成熟，安全負責人應該考慮更有效的安全管理方式。以流程為中心的安全管理方式，能夠有效提高安全管理的效率與有效性，應該是企業安全負責人在進行新一年的安全管理規劃時不容忽視的一個重要環節。

　　本文從一個詳細的安全流程方案模型出發，介紹了組織機構應實施的四大類安全流程——治理流程、規劃流程、構建流程和運行流程，然后描述了如何確定這些流程的優先級，如何正式規定這些流程，最后指出了組織機構要滿足最低安全標準應該實施的安全流程，希望能夠通過有效的安全流程管理，提高企業安全防御系統的有效性。