823
互联网企业安全高级指南3.3 如何推动安全策略
3.3 如何推动安全策略
首先,推动安全策略必须是在组织中自上而下的,先跟高层达成一致,形成共同语言,对安全建设要付出的成本和收益形成基本认知,这个成本不只是安全团队的人力成本和所用的IDC资源,还包括安全建设的管理成本,流程可能会变长,发布链条会比过去更长,有些产品可能会停顿整改安全,安全特性的开发可能会占用正常的功能迭代周期,程序员可能会站起来说安全是束缚,这些都是需要跟各产品线老大达成一致的,他们要认同做安全这件事的价值,你也要尽可能的提供轻便的方法不影响业务的速度。在规模较大的公司,只有自上而下的方式才能推得动,如果你反其道行之,那我估计安全团队多半在公司是没有地位的,顶多也就是在微博或者技术博客上有些外在的影响力。往下攻略去影响程序员和SA/DBA的难度肯定比往上攻略去影响CXO/VPs的难度小,但如果一开始就选择一条好走的路,实际对安全团队来说是不负责任的,作为团队领导你必须直面困难,否则安全团队就只能做些补洞、打杂、救火队长的事。
2. 战术层面
最后更新:2017-05-15 17:32:32