目前,各级电力企业虽然专门成立了相应的信息安全小组,形成了电力企业信息安全的决策层、管理层、执行层等机构,确保了人员的配置和安全责任制的落实,但还没有明确设立CSO职位。信息安全小组通常由企业的一把手负责,同时,指定了安全专职人员负责整个企业的信息安全,实际上行使着CSO的职责,这些安全专职人员可以称为“准CSO”。
通常这些“准CSO”是纯技术的人才,熟悉某一方面的安全技术如防病毒、防火墙、入侵检测技术等。然而,一个真正的CSO知识要全面,不仅要懂信息安全技术,而且还要懂安全管理。
1.熟悉风险管理
风险管理是指识别电力企业的资产,评估威胁这些资产的风险,评价假定这些风险成为事实时企业所承受的灾难和损失,并采取一些解决方案预防风险的发生及损失补救措施。风险管理是电力企业安全管理的核心。
要执行风险管理,首先必须熟悉本单位的核心业务(如业务的流程、边界等)和关键信息资产。哪些业务是关键的,需要采取高强度的防护措施进行防护;哪些业务是次要的,防护措施的强度可以低一些。同时,要了解业务系统安全与运行质量性能的关系,以避免为了提高信息安全而大幅度降低网络系统运行的质量和性能。因为信息安全是为信息化服务的,信息化最终是龙8为企业业务稳定持续发展服务的。
其次,CSO要制定一个风险管理策略,该策略是企业整体安全策略的组成部分。风险管理策略需明确风险处置的几种方式,如降低风险(采取各种安全防护措施,如加防火墙、入侵检测系统等)、转嫁风险(如买保险等)、接受风险(基于企业的投入/产出比考虑,寻求企业投资与风险承受能力的平衡点)等。因为安全是相对的,对风险的处置应该有个度,如果风险处置的费用超过了系统本身的价值,则再消除风险就毫无意义了,因此,应制定一个合理的风险管理策略。
第三,CSO要熟悉业务持续性运行与灾难恢复的知识,如保证业务持续性运行的系统和数据的备份。并且配备必要的应急设施和资源,如系统的启动盘、系统和网络管理员的电话号码、协助厂商的求助电话等。一旦企业网络系统发生问题,就可以统一调度,对安全事件快速响应,最大限度地降低企业的损失。
2.熟悉信息安全理念和技术
CSO应对安全理念如信息安全模型、国际和国内安全标准有较深入的认识。安全标准包括安全策略的标准、安全评估的标准、安全产品选型的标准、安全工程实施的标准、安全管理的标准等,了解这些安全标准可以更好地指导信息安全的建设。CSO还应熟悉常用的安全技术和安全产品,如防火墙、防病毒技术、加密技术、物理隔离技术等,了解他们的原理和部署等知识,这可以提高CSO自身的素质,树立自己在企业中的威信。
3.良好的沟通和管理能力
CSO要具备良好的上下沟通能力,因龙8为企业的安全管理制度和安全策略要贯彻执行,必须得到企业高层领导的许可和支持,同时得到企业员工的理解。但在实际情况中,很多领导和员工都要问,我们企业在信息安全方面投入很大,那到底取得了什么效果呢?这时CSO要让他们理解,网络和业务系统的正常持续运行,就是安全工程实施的效果。
信息安全是“三分技术、七分管理”,这强调了管理的重要性,特别是要加强对人的管理。因为无论安全制度的落实,还是安全技术和安全产品的布置,最终是由人来执行的。但在实际中,往往人是最难管理的,这就要求CSO要具有很强的管理能力。
CSO还应熟悉安全法律和法规,包括国家、行业以及企业的法规,如关于涉密系统的联网规定、系统日志应保存的时间规定、系统和数据的备份规定、经贸委的30号令等,并把他们应用到企业的业务工作中去。
目前,电力企业的“准CSO”们要想成为一个合格的CSO,需在以下方面进行努力:
首先,要强化业务知识的学习。这些知识不仅包括风险管理、安全技术、安全标准等信息安全知识,而且还包括企业自身的业务流程、边界等。
其次,要提高管理能力,特别是日常管理能力。
第三,要加强与其他企业CSO的交流,其他企业如银行、电信,甚至国外的CSO进行交流,学习他们的成功经验,吸取他们失败的教训,争取少走弯路。相信经过这些努力,电力企业一定会涌现出一批优秀的CSO。
.