记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

超级CSO | 宋琳:面面俱到?简单粗暴!

2020-11-14 22:32


戳视频看看宋总都说了哪些金句




为诸多企业量身定做又好又快的解决方案,还要找资深又靠谱的咨询顾问。本次超级CSO研修班的讲师宋琳,担任过身份证卡芯片和银行卡芯片等特大型项目的负责人。本文在宋总三小时授课实录基础上作精选摘编,以飨研修班课堂之外更为广泛的读者朋友。







IT管理的御膳坊


DNVGL大中国区产品经理   宋琳



今天我的主题是IT管理的御膳坊。其实御膳坊是阿里的一个公司,它是做数据分析的,不管你的需求是什么,我总有一则适合你的饭菜给你端上来,这个饭菜是企业的饭菜,给商户做这种精准营销。


02年我在飞利浦半导体,当年做了两个大项目,一个是中国的身份证芯片,大家口袋当中的第二代身份证芯片,面临的是无数要来破坏国家安全数据的间谍。当年我是全国的大项经理,我原来的角色是项目经理和质量经理,后来做了二代证被迫往安全去管了。


03年我就进入了认证行业,现在已经是差不多快十五年了,这两年见证着中国的信息安全。中国的信息安全管理现在很一般,为什么?你会发现因为IT人在管理,他们技术层面还可以,数据层面基本全完蛋,这就是中国信息安全管理的基本现状。你不懂业务的话,你做的只是一层表面的东西。


首先把现在IT管理的现时的标准跟大家交流一下,之前IT很少有标准,很多标准是基于汽车领域通讯领域去做的,IT只是基础设施维护当中的很小的一部分,跟水电气空调是并在一起的,这两年出现最多的标准是IT业的标准,不管是国家的还是国际的,风起云涌。


我们先讲管理的基本定义,因为我本身就是做管理的,基本上都是在企业一线工作。我跟我女儿就说一定要去一线工作,接地气说人话。所以一般企业的管理,不管你是什么行业,我们说管理就是需要一堆人经过一段时间的磨合,去达到某一个目标,这才叫管理你说我就是端起杯子,喝杯水,这叫一个动作,不需要管理



一般的管理有体系管理、流程管理、项目管理、内控管理、全方位的风险管理,这些都叫做管理,所以如果有人说宋老师,我们老板就说要做一个全面风险管理你帮我们做,这种活没法接。组织架构、职责权限,先把架构搭起来,其他的都不要紧,目标清单上三五条,直接明了。



团队成立起来以后我经常说的一句话叫做清单不散,管理不乱我们先把清单列上,详细引导有的放矢的时候,管理是积累的,是有效的清单未来一定是可以调整的,程序就是告诉我们的员工我们应该怎么办?Checklist是最好的程序



那么对于管理来说是过程重要还是程序重要?过程是一个公司的执行力,比如说变更管理,要有备份,写得很好,但是打补丁升级的时候没有东西,这个时候就是程序写的完美,过程不行。管理真正的好坏,20%取决于我们的过程,我程序写的怎么样80%是取决于这个公司的执行力,写的再好,你不值钱,没什么用



所以管理的基本要素就是这个,当我们接到了一个很头疼的项目的时候,也许有思路,也许没思路,先把边路搭起来,把清单列出来,再开始考虑,从哪几个角度去解决问题,然后完了再按照我们的程序去做,持续性地留下一些相关的记录,这个过程需要什么就是资源,这是管理的不败的法宝。


在行业管理的热点中,27000是一个底层的管理体系,面面俱到。27000相关的法律法规,商业秘密、国密商密,红头文件,商业秘密等。是信息安全的一个分支,个人隐私保护是另一个分支,是100%的就是信息安全的一个部分。这两年个人隐私出来的标准实在太多了,并且很难。设备卖到欧洲去,不能写人脸识别,因为侵犯人隐私,这部分很严格。去欧洲展布展的时候,他们的摄像头装在那,必须写明你已经进入我们的展区。



通过20000说难也难,说不难也不难,其实它的通用性比较强,就关心你是用什么样的方法去落地的,另外20000和27000怎么去做整合的,工具最重要,千万不要让它变成IT运维人员的一种负担,要有很多的工具跟日志,做一些契合,这是我的小建议。


今年我很忙,我得天天去关注特朗普在说什么,他一说什么,很多企业就给我打电话,为了中国的业务马上进口激光头,因为激光头是我们缺的东西。我们现在要越来越多关注外围条件,业务连续性就是考虑让你的业务能够进行下去的。每一个动作都是由不同的系统组合,而任何业务缺少的任何一环,你就办不了,因为它是法规要求。

 

工作流的作用和核心系统差不多,如果光关注核心新系统,不关注重要的外围系统,业务是成不了的,BCM就是解决这个的,你站在高楼上看管理会更加透彻,是我们所有管理都没想到的,最后一道门。

问答环节


问题:牵头部门是怎么把不同部门的事情牵起头来的?


回答:风控老大是要有这个意识的。如果我来做的话,业务部门参与一些就行了。你要把要搞的业务清单发出来,确定好我们的范围流程。以后业务部门的人有问题,把这些人召集在一起,用一个培训的方式让他们把流程图画出来,比如黑名单、校验、后台、审核等等,会有一个简单的梳理。BIA需要给重要系统打星号,这是应该的,另外可以跟他商量一下每个系统的要求。要基于流程去用,而不是基于点击数去用,那是不对的。


现场花絮


注:本文只是宋总现场授课小部分摘编,完整视频资料3小时,全文实录约1万字,我们会在本期研修班结束后制作视频专辑和纸质专刊,届时分享,敬请期待。





推荐阅读




网络安全“黄埔军校”——超级CSO研修班重磅首发

超级CSO研修班首发,听CSO说CSO

不惧“黑天鹅”,超级CSO研修班重启,报名请进

最强导师团,超级CSO,奠基网络安全“黄埔军校

CSO领航企业安全,网安业者如何火力全开?

我为什么要参加超级CSO研修班?

超级CSO研修班:开营了!

“无限可能,成就有你”,超级CSO研修班揭幕开营!

超级CSO|谭晓生:洞察产业,创新网安

超级CSO|黄承:规划策划,重在人事

超级CSO | 马民虎:网安发展,法律必行

超级CSO | 季昕华:宁做“备胎”,无畏创业

超级CSO | 陈建:治理先行,管控落地


齐心抗疫 与你同在 





点【在看】的人最好看



知识来源: https://mp.weixin.qq.com/s?__biz=MzIzMTAzNzUxMQ==&mid=2652904682&idx=1&sn=170dd217edde19e03aeadf736ccb8c31&chksm=f37ef3c2c4097ad4d2455f7a6c2f7153f269c2ccd9732f84e41b10faa2c900aa2d1cec428329&scene=27&k

阅读:404410 | 评论:0 | 标签:CSO

想收藏或者和大家分享这篇好文章→复制链接地址

“超级CSO | 宋琳:面面俱到?简单粗暴!”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

标签云 ☁