货拉拉信息安全实践-黄宇鸿.pdf

1、安世加安世加安世加安世加安世加安世加货拉拉信息安全实践安全体系建设解构安世加安世加安世加安世加安世加安世加 企业信息安全框架 组织设计思考 安全能力体系构建 文化和生态目录安世加安世加安世加安世加安世加安世加企业安全目标设定和安全框架合法合规0发生组织设计自上而下内部监管自下而上安全服务文化和生态内建文化外建生态技术体系数据驱动融入体系合规体系主动合规广泛合作 合法合规 重大有责安全事件0发生安世加安世加安世加安世加安世加安世加企业信息安全组织和机制信息安全委员会数据安全小组个人信息保护小组业务/职能1业务/职能2业务/职能n信安BP信息安全团队信息安全工作组信息安全SSC体现安全内部“监管”

2、和“服务”两个职能管生产也要管安全安全BP主要体现服务职能专业安全团队通过运营信息安全委员会发挥管理作用组织设计要点安世加安世加安世加安世加安世加安世加技术体系建设方法阿里：重检测，轻防御，快响应滴滴：可感可控，业务优先数据驱动融入体系指标驱动运营通过数据构建能力安全技术融入产研体系安全管理融入公司管理体系方法安世加安世加安世加安世加安世加安世加检测类安全指标：服务类指标：信息安全指标建设反映安全整体水位安全指标驱动安全能力迭代覆盖率准确率MTTD（平均检测时长）MTTR（平均响应时长）SLANPS运营线上化攻防云+安全有效性验证（BAS）安世加安世加安世加安世加安世加安世加构建安全数据和体系

3、WAFHIDSNIDSSAST基础安全能力构建DLPAPI安全外采的安全能力需要有较好的数据开放性和API云管端都需要有自建安全安全能力，便于数据采集和应急响应安全数据基建资产能力构建安全情报IP域名手机号IT资产数据资产数据服务安全综合平台SOAR审计平台SOC安世加安世加安世加安世加安世加安世加技术体系支撑合规治理合规落地需要技术体系支撑合规是基于业务的，我们原来说的比较多的技术体系是横向的资产管理需要增加业务维度建设法规知识库和责任清单，融入业务特定需求，支持安全合规和风险评估能力常态化安世加安世加安世加安世加安世加安世加安全融入企业体系安全左移的极致不是更早的发现问题，而是降低问题的发生安全从根本来说还是要服务业务，要参与到业务和流程的治理中，推动企业规范化、数字化发展建建设设成成熟熟期期安全能力互相融合，安全融入企业体系建建设设中中期期安全技术能力体系建设建建设设早早期期基础安全能力建设企业信息安全建设之路最终每个企业的信息安全肯定会有所不同，因为各个企业的业务不同、流程不同、文化不同、风险偏好不同期待AI带来的行业变革安世加安世加安世加安世加安世加安世加内建文化、外建生态做企业安全向内看和向外看都很重要50%50%组织设计安全能力建设安全意识和知识培训促进企业管理规范化，数字化安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加