企业安全能力元年到了

2017年，企业安全行业提到最多的话题就是“安全能力建设”。那么问题来啦：

1、  企业到底应当具备哪些安全能力？

2、  企业如何构建需要的安全能力？

3、  企业安全能力和传承已久的信息安全体系框架是什么关系？

面对问题1和问题2，相信大家都能脱口而出一些热点安全能力和能力建设方案。如：态势感知能力、漏洞管理能力、安全预警能力、应急处置能力等。但是站在企业安全视角，就要有一个相对科学的模型进行诠释。

首先，提及能力，需要考虑能力成熟度。可以从流程管理、人员组织、技术措施和考量指标四个方面进行成熟度描述。简单理解：一只装备精良、战斗经验丰富，有着明确作战方案和考核体系的队伍才能打胜仗。

其次，需要明确企业当前需要构建哪些安全能力。可以从规划、建设、运维和合规四个维度进行不断完善；为什么是这四个维度，因为业务系统生命周期就是如此。安全的核心就是确保业务系统安全。

最后，在一片“沃土”培育我们的“梦想”。在支撑平台上，将安全能力构建出来。在标准化流程引导下，安全人员依赖可落地的技术措施，高效、标准化地完成安全工作。

面对问题3，我们可以看看上图，一个标准的信息安全体系框架。直接想到的是那句Old Fashion：三分技术，七分管理。快快跳出这个“怪圈儿”吧。提高企业的安全能力成熟度，明确企业需要开展安全工作，逐步构建真正可落地的安全能力。

企业安全能力元年到了，大家来一起推陈出新吧。致敬所有企业安全行业从业者。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP