业务安全策略变更指标评估与决策机制简述

一、业务安全策略变更评估与决策的必要性

安全策略作为安全风险治理的解决方案在设计，建设，实施过程中已经考虑了风险接受决策的相关因素。安全风险的发展、演进与动态特性，决定安全策略需要持续更新优化的机制。相对于系统安全为核心的信息化网络安全，以业务安全为核心的数字化安全的业务安全策略略变更，需要考虑更多的相关因素和变量，对于持续优化的业务安全策略，需要建设客观的指标评估机制，为业务安全策略的变更决策提供参考依据。

同时，为了保障业务安全治理的体系化与有效性，需要建设完整的评估与决策机制，避免滥用例外与豁免机制带来的安全风险。

初始化的安全策略以安全需求驱动的系统漏洞整改强制性安全策略为主，不考虑业务作业的特殊场景，特殊需求以及相关局限造成的风险敞口，需要通过紧急的安全策略实现对已知安全漏洞的覆盖，避免安全风险形成重大影响的安全事故。但这种紧急治理的一刀切的机制势必对业务作业流程产生性能和效率的影响。从安全策略运营的角度，需要持续的细化，优化，以适应业务战略的发展。

安全策略运营中的安全策略优化和改进需要考虑作业场景的必要性，安全策略的可替代性，安全策略能力建设运营成本，风险暴露的时间窗口，综合进行评估和决策，从而实现安全策略的精细化管理。

二、业务安全策略的设计、实施、运营

业务安全是以作业流程为核心的安全，风险的评估来自于作业流程中作业行为的数据安全评估，这类似于个人信息保护的个人信息影响分析（PIA），可以采用相关方法论评估作业行为的安全风险，并针对安全风险设计安全策略，建设和运营相关安全能力。这个环节在作业过程数字化建设中，同步考虑安全策略的嵌入，类似于个人信息保护中的基于隐私的设计（PBD）。当然，理想状况适用于新建系统的体系化能力设计与建设，在实际的业务场景中，由于历史遗留原因，安全风险的相关策略需要考虑整改安全解决方案，补偿安全措施，以降低风险暴露面。

以金融级安全的个人敏感信息保护为例，涉及到账户信息，个人识别信息（PII），作业人员的查询，应用需要获取用户动态授权或实时审核授权，相关记录需要可以监控，审计与追溯，但系统设计原因未实现上述功能的，或具体作业场景中授权机制和频率和效率平衡的问题，通过统一的整改需求实现全系统的改造，面临成本，作业效率等一系列挑战。从安全策略覆盖和实施的角度出发，需要业务、产品、研发针对安全策略做进一步细化，优化，方案调整，而如何达成共识，纳入项目管理，评估指标和决策机制是跨部门协作形成标准化的基础。

三、业务安全策略变更的指标与评估

1、作业场景评估

作业场景评估涉及到作业行为接触的敏感数据，相关敏感数据访问，处理，应用，分享的方法，机制，与安全策略的冲突，涉及到的岗位，角色，相关作业行为的频率，范围以及相关记录。业务操作的必要性，可替代性。

2、安全策略变更评估

现有安全策略对作业行为的可用性，效率的影响，调整的安全策略对现有安全策略风险控制的影响，风险是否可以控制，是否可以监控，是否可以审计，是否存在安全补偿措施，弥补作业行为的风险暴露。

调整的安全策略评估涉及设计、实施、运营的时间成本，财务成本，以及残留风险。

3、安全策略调整的决策

依据评估指标，根据决策流程机制，实现决策建议，供决策审批。

四、安全策略变更的决策流程与机制

1、已列入安全策略实施计划，需求部门，业务部门，安全部门无异议的部分，按原计划执行。

2、已列入安全策略实施计划，业务，产品，研发因业务场景需要，对安全策略存在异议的分为两类，已有安全策略明确变更方案和安全策略变更方案待定。

3、对已有明确安全策略变更方案的，若变更方案拆分，细化后，安全策略对相关风险可以控制，可以监控，可以审计，属于低风险，根据评估实施时间纳入计划队列执行。

4、对安全策略变更方案缺少控制措施，但可以监控，可以审计，具备补偿措施控制风险的，属于中风险，限制例外适用范围后，评估实施时间纳入计划队列执行。

5、对安全策略变更方案不可控，不可监控，不可审计的，属于惩罚性漏洞，属于高风险，如果经公司级决策接受风险的，严控适用范围。

6、对于安全策略变更方案待定的例外事项，确定变更方案完成时间期限，在变更方案完成后，纳入变更方案管理。

五、安全与业务共识协作推动业务安全风险治理

相对于系统安全的安全策略变更，业务安全的策略变更涉及到业务、产品、研发、运营等业务作业的设计，实施，应用等诸多业务部门。安全风险评估和治理过程中安全策略的设计、部署、运营需要多部门协同。而传统网络安全部门对业务安全作业场景以及作业过程介入不足，业务与安全部门针对安全策略的影响潜在冲突，需要客观，公正和风险可控的变更评估与决策机制，以达成共识，共同促进安全风险的治理。

这既不是安全部门的一言堂，以安全合规为圭臬影响业务的开展，也不是以业务为核心完全忽略安全部门对风险的管控诉求。而是形成一种客观、可行的体系化机制，以达成安全风险治理共识。

声明：本文来自IT的阿土，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。