安全架构--6--安全负责人应具备的知识

安全架构--6--安全负责人应具备的知识

安全负责人应该具备的知识体系分为：组织领导能力、战略规划、安全管理、风险管理、安全技术等五个部分

组织领导能力：团队人员管理
战略规划包括：战略思维、理解业务、战略预测、制定战略、战略架构、制定目标、分解目标等
安全管理包括：安全体系ISMS、法律法规、安全运营、安全运维、资产管理、人员安全管理、安全意识和培训、组织机构建设、安全策略体系等
风险管理包括：风险管理组织、信息安全风险管理准则、风险范围和边界、风险评估、风险处置、信息安全风险沟通、风险监视与评审
安全技术包括：攻击技术（互联网攻击、内部攻击、社交攻击）、防御技术（基础设施安全、通信与网络安全、计算环境安全、应用程序安全、数据安全）

这里面很多词汇其实并不难理解，这里仅介绍下风险管理和网络安全理念和技术两块

风险管理：

风险管理是指识别企业的信息资产，评估威胁这些资产的风险，评价假定这些风险成为事实时企业所承担的灾难和损失，并采取一些解决方案以预防风险的发生及进行损失补救，风险管理是企业安全管理的核心。

要执行风险管理，首先必须熟悉本单位的核心业务（如业务的流程、边界等），并识别关键信息资产，如哪些业务是关键的，需要采取高强度的防护措施进行防护；哪些业务是次要的，防护措施的强度可以低一点。同时，要了解业务系统安全与运行质量性能的关系，以避免为了提高信息安全而大幅度降低网络系统运行的质量和性能。因为网络安全是为信息化服务的，而信息化最终是为企业业务稳定持续发展服务的。

其次，要制定一个风险管理策略，该策略是企业整体安全策略的组成部分。风险管理策略需要明确风险处置的几种方式，如降低风险、转嫁风险、接受风险等。因为安全是相对的，对风险的处置应该有一个度，如果风险处置的费用超过了系统本身的价值，则消除风险就毫无意义了，因此，应制定一个合理的风险管理策略。

网络安全理念和技术：

安全负责人应对安全理念如信息安全模型、国际和国内安全标准有较深入的认识，安全标准包括安全策略的标准、安全评估的标准、安全产品选型的标准、安全工程实施的标准、安全管理的标准等，了解这些安全标准可以更好地实施网络安全建设。除此外还应熟悉常用的安全技术和安全产品，如防火墙、防病毒技术、加密技术、物理隔离技术等，了解它们的原理和部署等知识，这可以提高自身的素质，并树立自己在企业中的威信。