诸子云 ▪ 企业网络安全专家联盟——以中国境内各行业各领域企业组织的网络安全从业骨干为主体的社群组织,是为奋战在用户单位网络安全一线的实践者提供的交流互助平台。
撰稿 | 蓝河
编辑 | 图图
引言
“诸子云 · 微话题”是个新栏目,也是个小栏目,是我们耳朵贴在会员微信群门边儿上听得过瘾,拍手称快,又觉得不分享心痒难搔,于是,一时兴起,即刻设立。诸子云——企业网安专家联盟,作为网安圈绝无仅有的甲方社群,有各方大神汇聚,每天自然是话题不断。政策法规,时事热点,最佳实践,深度思考,观点碰撞,爆料吐槽,小小微信群,居然藏龙卧虎、纳宝拾贝。平时工作中给人严谨甚至刻板印象的甲方专家和大咖们,在微信群里,似乎都变成“段子手”、“接梗王”、“饶舌天后”、“哲学家”或者“吐槽大师”了。头脑风暴,共议共享,摩擦出绝伦的网安火花,这是一场思想上的“轰趴”,这里有太多“你不知道的事”和“你应该知道的事”了,如此好货,有安在,岂能独享?
目录
上个月,诸子云会员群共计发起大规模话题论述十余次,小范围讨论更是达数十次之多,除上海群以外,北京、杭州、深圳等会员群也开始纷纷加入话题讨论之中,一时间多地开花、共同响应、好不热闹。
大型项目活动的结束,并没有消减我们的热情,更没有懈怠我们对网络安全工作的精神,反而在经历磨练和沉淀后,产生出更深层次、更有价值的思考,这将会对网络安全前行的方向,起到良性的推动。
本期“微话题”,我们将选出3个话题与大家共同展开讨论和思考。
1.有没有办法可以绕过产品或业务负责人,直接落实安全制度?
2.招聘一个持有cissp又有相关网络安全多年经验的人,大概是什么年薪水平?
3.关于《网络安全法》当中提到的“相关的网络日志留存不少于六个月”,“相关网络日志”具体是什么,有无认定标准?
话题1
1有没有办法可以绕过产品或业务负责人,直接落实安全制度?
“
话题背景:我计划依据公司安全制度落实安全责任制,但感觉找产品或者业务负责人签责任书阻力很大,有没有其他可替代的方案?例如找领导签字,或负责人签承诺书等材料,或直接宣贯安全制度,签知晓同意书,或邮件正式通知等。
”
“找行政或者总务,或者总经办,一起拉下水,然后领导签字就行了,出个制度。和部门商量是人情,邮件可以不看,承诺书可以不签的。”
“哈哈,那就是找小领导签,帮公司大领导背着。最差情况就是邮件,如果真有安全事故,邮件有木有效力。”
“最好有一票否决权,以前我们公司项目管理流程工具里有cyber security leader approve的按钮,他不点项目无法close。”
“我有一票否决权,基本不敢用。”(先不说敢不敢用,你能有一票否决权就已经凌驾众生了)
“一票否决权的话,金融行业安全组一般都有,一不定叫一票否决权,也可以理解为是流程审批的一个必要环节。”
“我们具有一票否决权,不过慎用,其实也使用过,往往有些审批到了老板那,问了句安全是什么意见,几次后大家一般就会先找安全沟通了。”
“责任书该谁签就谁签,这是底线问题,没有余地。这都做不好,其他都不用做了,没意义。”
“关键时候玩票大的,邮件没有回复,就没有效力。如果必须邮件的话,我的办法是,3天不回复视同默认,屡试不爽。”(这是高手)
“如果必须邮件的话,3天不回复视同默认 这句话写到邮件中,哈哈。”(下套要套牢)
“还是要嵌入关键流程里,光签是没用的,但是嵌入到流程里就有工作量上去的风险。”
“签责任书的不是要行政来落地?有些地方网监要求单位签安全责任书,还要求单位一把手签字,内部只是责任分解。”
“关键是嵌入流程,让大家知道不找安全锅都在自己身上。”
“安全责任书这种东西如果在大一点的公司,只找中层签是很难推行的。一般有两种办法,对外报给监管机构的要让公司一把手签并且说明无奈性; 另一种让全体员工都签。”
“运营商一把手不签也是默认第一责任人,我们只是给他分锅的。”
“现在一把手有指示了,制度也有了,我先去找业务一线分锅,然后再去争取一票否决。”
“我也是最近刚推行制度,让全员都签署了,一把手有指示是杆大旗。”(枪在手跟我走)
“榜样的力量!全员真可以有,下次总办会先问问领导。”
“合规非常重要,我觉得科创板都应该成立各部门叫合规部,(或内部叫防退市部门),留得青山在,不怕没柴烧。”
“早上学习了科创板退市及相关资讯后得出的结论,常规的科创板退市制度学习下就可以 其他要法务参与,特别是网络安全法等,针对行业不同 也有差异化。”
话题2
1招聘一个持有cissp又有相关网络安全多年经验的人,大概是什么年薪水平?
“3年30万。”
“cissp没啥用吧!投标有用,薪水和自己能力相关。”
“那是挂靠?cissp国内应该不多吧。”
“cissp谁说没用.比如两个人能力差不多,但是有一个人有cissp,胜出。”
“安全认证里cissp算认可度最高的了吧,国内据说不超过4000人。”
“cissp确实一堆,但集中,例如移动,有50人上下。”
“考试费现在应该699了吧。以前599美金,标准化的考试,出来的证书都还是代表一定能力的,本来定位也是管理岗吧。”
“有这样的操作想法,检验一个网络安全管理人员特别是偏管理方向的,如果没有cissp,可以让他去参加最近一期的cissp考试,cissp考试题目覆盖很全面,并且与时俱进。”
“从网络安全的特性来看,的确需要专业人员,至少知识面要足够广,足够新。”
“有cisp的人应该绝大部分,裸考拿不了cissp。”
“11年那时候在华山路上上海市信息化培训中心上cobit培训时候,培训老师来自IBM的李凯告诉我我们单位有个培训cissp的大神叫张强,然后在单位听了他几次讲座后觉得确实讲的条理清晰,深入浅出。然后就跟着他混到现在了。”(感人肺腑)
“以前我考试都是为了考证而考证,短时间抱佛脚,多快好省,完全脱离了工作实际。除了双ssp学的东西和现在工作用处比较大,还依稀记得以外,其他cobit,cisa,itil,27000早就扔掉了。”(催人泪下)
话题3
1关于《网络安全法》当中提到的“相关的网络日志留存不少于六个月”,“相关网络日志”具体是什么,有无认定标准?
“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。”
“没有详细说法,于是有把视频也算日志的虾鸡霸糕。”(我怀疑你在骂人)
“像我们光是数据中心的日志都吓人。”
“理解的原则是出了事,明确谁担责任就行。”
“上次也问过一些机构,最后也没说出个所以然。”(看来大家都没闹明白)
“要结合各行各业的行标,有的时间要求比这个长”
“我们是根据实际业务要求收集的,全量设备存储都不够的,官方也没有详细说明。”
小结
“微话题”虽微小,却不乏微妙,许多灵感不就是被这种微妙点燃的吗?
是不是觉得挺有趣也很干货?那么,扫这里的二维码联系我们,如果有缘,你会成为诸子云一员,不仅随时聊天畅谈,还有每月一期《诸子云月报》奉献于你,更有精彩的线上协作项目和线下沙龙活动等待着你。
从你听闻召唤而来的那刻起,属于我们共同的故事就开始了。
