在很多大型金融企业中,信息安全人员通常隶属于信息技术部门。在面对业务部门的信息安全问题时候,往往对方会显得比较强势,尤其在没有出现明显安全问题的时候,很多安全防范的建议、工作往往比较难以推进。
希望有经验的专家们给出实用的宝贵经验。
信息安全工作的有效开展必须得到高层领导的支持和重视。信息安全不仅仅是信息技术部门自己的事情,也需要各个部门协同工作。
目前,我司应用系统上线前需要进行安全测试。上线评审报告中,除了业务需求部门签署意见之外,合规风控部门,信息技术部门都需要签署相关意见。如果存在重大安全隐患,合规风控部门是不允许上线发布的。通过这种方式,业务部门慢慢也就重视系统的安全问题了。
收起此类问题是各行业普遍存在的问题。个人认为,首先要建立健全信息安全管理的各类规章制度,明确信息安全管理人员的岗位职责,当发现信息安全问题的时候,及时通知相关人员,告知可能造成的影响和危害程度,一般情况下,相关单位和人员会认真配合的。实在不行,走相关会签流程,留存字据,你懂的。 :)
其实做到比业务人员更懂业务就可以了,比业务人员更懂业务也不是不可能的事情,因为业务流程和后台数据流转如果你都清晰的话那么你提出的意见就是金玉良言,谁会不听从专家的意见呢?这就需要自身的积累和对业务的透彻理解,因为作为把握技术的人员你可以清楚地知道整个系统或者应用的流程,而不是局限于表面功能的流转,这是作为技术人员的优势,如果能把这种优势转换成话语权,那么实际工作中会达到更高的效果,也会让业务部门达到满意
收起首先这个问题存在普遍性
要解决这个问题,要从多方面来着手,前面两位大侠都有提到
我想说的一点就是在描述问题的时候一定要用通俗易懂,生活化的语言来解释你想要做的事情,比较业务部门的同事很难理解专业术语的,隔行如隔山嘛,只有先让对方明白你说的才有可能得到理解和支持不是
目前我们接触的业务部门人员个人感觉还是可以的,首先对于安全人员来讲,具有很好和沟通能力是一般比较重要的要求,其次对于安全工作不能仅仅要求业务人员直接按照你的要求去做,因为通常来讲安全给业务提出的要求要么是对业务的设计有影响,要么是开发上线时间,要么是增加成本,要结合业务经验给业务人员说明你做了这些有什么好处,不做会承担哪些风险,这些就需要你对行内的标准、合规要求等有较深的理解和解读。
收起