EMC信息安全事業(yè)部RSA今天發(fā)布企業(yè)創(chuàng)新信息安全委員會(huì)(SBIC)的一項(xiàng)全新研究報(bào)告，包含一項(xiàng)極具前瞻性的安全計(jì)劃 ，涉及建立下一代信息安全團(tuán)隊(duì)，以及今天的全球企業(yè)中的網(wǎng)絡(luò)威脅生命周期管理。面對(duì)錯(cuò)綜復(fù)雜的商業(yè)環(huán)境，威脅環(huán)境、新技術(shù)采用、以及監(jiān)管審查的不斷變化，信息安全團(tuán)隊(duì)要在這樣的背景下取得成功，所需條件在過去18個(gè)月里已發(fā)生了巨大變化。為應(yīng)對(duì)不斷變化的環(huán)境，企業(yè)信息安全團(tuán)隊(duì)的工作重點(diǎn)和職責(zé)都發(fā)生了巨大轉(zhuǎn)變。

　　這篇題為“信息安全變革：建立一支頂級(jí)拓展型團(tuán)隊(duì)”的最新報(bào)告指出，信息安全團(tuán)隊(duì)成員應(yīng)具備一些安全領(lǐng)域不常用的技能，如業(yè)務(wù)風(fēng)險(xiǎn)管理、法律、市場營銷、數(shù)學(xué)和采購。信息安全學(xué)科也須包含聯(lián)合問責(zé)模式，確保企業(yè)的業(yè)務(wù)經(jīng)理和管理人員對(duì)信息安全負(fù)有共同責(zé)任，使其明白他們自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)也是業(yè)務(wù)風(fēng)險(xiǎn)的一部分。安全團(tuán)隊(duì)要履行其延伸職責(zé)，但缺乏先進(jìn)的技術(shù)和以業(yè)務(wù)為中心的技能，所以應(yīng)該制定人才培養(yǎng)及教育的全新策略，以及借助外部服務(wù)提供商專業(yè)知識(shí)的策略。

　　為了幫助企業(yè)建立頂級(jí)的安全拓展型團(tuán)隊(duì)，該委員會(huì)在這份全新報(bào)告中提出七項(xiàng)建議。

　　1. 重新定義并強(qiáng)化核心競爭力 - 核心團(tuán)隊(duì)要在四個(gè)主要方面有所提升：網(wǎng)絡(luò)風(fēng)險(xiǎn)智能與安全數(shù)據(jù)分析、安全數(shù)據(jù)管理、風(fēng)險(xiǎn)顧問、設(shè)計(jì)控制與保證。

　　2. 分配日常運(yùn)營 - 將重復(fù)、已成形的安全流程分配給IT部門、業(yè)務(wù)部門、和/或外部服務(wù)提供商。

　　3. 借力專家 - 對(duì)于特殊專精領(lǐng)域，應(yīng)邀請(qǐng)企業(yè)內(nèi)外專家來擴(kuò)充核心團(tuán)隊(duì)的實(shí)力。

　　4. 指引管理風(fēng)險(xiǎn)責(zé)任 – 與業(yè)務(wù)部門聯(lián)手共同管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，協(xié)調(diào)制定統(tǒng)一的應(yīng)對(duì)方法。為業(yè)務(wù)開展提供便利，并明確責(zé)任分工。

　　5. 聘請(qǐng)流程優(yōu)化專家 – 聘請(qǐng)的專家應(yīng)具備質(zhì)量管理、項(xiàng)目管理、流程優(yōu)化和服務(wù)交付方面的經(jīng)驗(yàn)和資質(zhì)。

　　6. 建立重要關(guān)系 - 與重要的參與人員建立互信，樹立影響，如業(yè)務(wù)核心人員、中層管理人員和外包服務(wù)供應(yīng)商。

　　7. 為未來人才突破思維定式 - 由于缺乏現(xiàn)成的專業(yè)知識(shí)，培養(yǎng)人才是大多數(shù)企業(yè)唯一真正的長期解決方案。有價(jià)值的專業(yè)背景包括：軟件開發(fā)、業(yè)務(wù)分析、財(cái)務(wù)管理、軍事情報(bào)、法律、數(shù)據(jù)保密、數(shù)據(jù)科學(xué)和復(fù)雜統(tǒng)計(jì)分析。

高管證言：

　　EMC公司執(zhí)行副總裁兼EMC信息安全事業(yè)部RSA執(zhí)行主席亞瑟•科維洛

　　“為保證轉(zhuǎn)型成功，必須將安全視為一項(xiàng)共同責(zé)任，在不斷變化的威脅環(huán)境中，利用積極的伙伴關(guān)系，管理業(yè)務(wù)中的固有風(fēng)險(xiǎn)。企業(yè)的當(dāng)務(wù)之急是建立一支可以運(yùn)用正確專業(yè)知識(shí)，把工作做好的安全團(tuán)隊(duì)。”

匯豐控股有限公司基礎(chǔ)設(shè)施安全集團(tuán)主管，鮑勃•羅杰

　　“核心安全團(tuán)隊(duì)的專業(yè)知識(shí)應(yīng)主要用于為業(yè)務(wù)部門提供咨詢、提供指導(dǎo)、驅(qū)動(dòng)戰(zhàn)略、確定及闡明風(fēng)險(xiǎn)、了解威脅、推動(dòng)企業(yè)發(fā)展 - 而不應(yīng)被日常經(jīng)營活動(dòng)所累。”

關(guān)于企業(yè)創(chuàng)新安全委員會(huì)

　　企業(yè)創(chuàng)新安全委員會(huì)由來自全球1000強(qiáng)企業(yè)的頂級(jí)安全領(lǐng)袖組成，致力于通過分享各自不同的專業(yè)經(jīng)驗(yàn)和真知灼見，來推進(jìn)全球信息安全的發(fā)展。該委員會(huì)定期發(fā)布報(bào)告，探討信息安全在企業(yè)創(chuàng)新過程中的核心作用。

　　來自以下全球大型企業(yè)的18位安全領(lǐng)袖對(duì)本報(bào)告提供了寶貴的意見和建議：

荷蘭銀行              ADP公司       愛特爾

阿斯利康制藥        可口可樂       EMC公司

聯(lián)邦快遞公司        富達(dá)投資       HDFC銀行有限公司

匯豐控股有限公司  英特爾           強(qiáng)生

摩根大通            諾基亞            思愛普(SAP)集團(tuán)

TELUS研科公司   T-Mobile美國   沃爾瑪