10.企业安全建设指南(金融行业安全架构与技术实践) --- 安全预算总结与汇报

Posted 2021-08-24 enlyhua

10.1　安全预算
	1.安全预算比例
		占用IT投入的 3% ~ 10%。

	2.预算分配
		投入前三名为：保护和预防，检测和响应，合规和审计。

		"三三三原则"：
			1/3投入到外部情报收集，这是来自于外部的红军，包括众测和SRC的建设；
			1/3投入到安全感知系统建设，只有先看到，才能实施有效防御;
			1/3投入到防御系统的建设。

	3.ROI和TCO

10.2　安全总结
	一份安全总结应该包括：	
		1.内外部监管任务落实情况
		2.全年安全事件和安全指标完成情况
		3.安全管理体系建设
		4.安全研究和安全意识培训实施情况
		5.内部管理
		6.人才培养
		7.团队文件建设
		8.个人成长
		9.存在不足
		10.新一年工作重点和计划

10.3　安全汇报
	汇报的内容一般围绕4个目标展开：
		1.进展和问题报告(沟通信息，取得理解)
		2.结果和成果(讲成绩，也讲问题)
		3.要资源和支持
		4.推动工作(表扬先进，督促后进)