最常见的对漏洞管理流程有贡献的角色群体是:资产所有者、人力资源、IT及安全部门。你可能有点奇怪,认为安全部门应该是操作者角色,而不是贡献者角色。虽然安全部门是系统主要的操作者,但我们站在更高、更抽象层面可以将安全部门当做一个客户,他们为漏洞管理流程的需求做出了贡献。
1. 资产所有者
资产所有者是那些最终买单并获得最大利益的人。他们掌管着财务的支付,因此在该做什么上有相当重要的话语权。在很多公司,资产所有者就是产品购买者,常常发生账单拒付或直接购买的情况。这在中、高层管理者中体现得最为明显。
一般的IT工作人员很自然地把他们管理的系统当做是自己的。这种物主身份感不是实际可见的,但却是一种确实存在的感情依恋。在一个大公司中,当需要制订计划对资产的安全性进行评估时,取得资产管理者的合作将能产生更好的成效。在进行资产关键的安全性评估时,收起对资产的个人情感将有助于提高评估结果的客观性。资产所有者有两个非常重要的贡献:资产分级(asset classification)和定价(valuation)职能,这两件事不能也不应该由系统管理员来执行。关于这点,将在介绍漏洞管理计划的规划和执行时展开讨论。
2. 安全部门
安全部门工作人员通常是直接与漏洞管理打交道的人。但是,对于特别关注服务管理(即ITIL服务管理框架中描述的服务管理)的公司,可能只是将漏洞管理作为服务管理的一个部分。不论哪种情况,安全部门和IT部门都应当保持密切合作的关系。这种关系将使漏洞管理实现起来更容易并能获得更好的内部支持。
由于安全是漏洞管理系统的终极目标,因此安全部门自然是漏洞管理计划关键的参与者,并很有可能是漏洞管理程序完全的所有者和操作者。但是,根据业务的类型,也可能是别的团队(如合规团队)承担这个角色。例如,特别倚重支付卡行业(PCI)标准合规的公司可能希望合规部门获得漏洞管理的所有权,而将安全部门作为顾客和关键成员,与之密切合作。
3. 人力资源部门
人力资源部门(HR)是最容易被忽视的部门之一。漏洞管理系统常常发现关键的合规问题,这些问题有时甚至可能成为员工导致的安全事故的证据。HR是报告流程中的很重要的角色,并在安全策略中起着“指挥棒”的作用。最终,HR帮助处理员工的所作所为给公司造成的风险。当需要提起诉讼而不仅仅是进行打补丁和配置管理时,开发出来的任何报告流程都要考虑同HR的关系。
HR也被包括在创建和维护绩效管理计划的工作中。经过仔细的规划,可以将漏洞修复的绩效同员工的绩效目标挂钩。为了实现这一点,可能需要让HR对漏洞管理程序和支撑系统的工作模式有一个清晰的理解。然后HR就能与漏洞管理程序管理者协同工作,一起决定在管理员工时可能遇到的冲突调解过程中,各自应当承担什么样的角色。
4. IT部门
很显然,信息技术同技术和流程密切相关。如果你作为安全管理或合规小组的成员单独工作,建议找一位IT项目经理做搭档,来实现技术部署。一个高层IT管理者对系统和网络修复也能提供很大帮助。漏洞管理程序管理者应该与高层IT管理者合作,共同开发流程、任命监管工作的负责人。你很可能需要从管理者那里得到一些最初的指示,然后提出流程方案。切记提供一张流程图。IT人员能很好地在图表配合下工作,一般都很擅长分析已有设计。
最常见的对漏洞管理流程有贡献的角色群体是:资产所有者、人力资源、IT及安全部门。你可能有点奇怪,认为安全部门应该是操作者角色,而不是贡献者角色。虽然安全部门是系统主要的操作者,但我们站在更高、更抽象层面可以将安全部门当做一个客户,他们为漏洞管理流程的需求做出了贡献。
1. 资产所有者
资产所有者是那些最终买单并获得最大利益的人。他们掌管着财务的支付,因此在该做什么上有相当重要的话语权。在很多公司,资产所有者就是产品购买者,常常发生账单拒付或直接购买的情况。这在中、高层管理者中体现得最为明显。
一般的IT工作人员很自然地把他们管理的系统当做是自己的。这种物主身份感不是实际可见的,但却是一种确实存在的感情依恋。在一个大公司中,当需要制订计划对资产的安全性进行评估时,取得资产管理者的合作将能产生更好的成效。在进行资产关键的安全性评估时,收起对资产的个人情感将有助于提高评估结果的客观性。资产所有者有两个非常重要的贡献:资产分级(asset classification)和定价(valuation)职能,这两件事不能也不应该由系统管理员来执行。关于这点,将在介绍漏洞管理计划的规划和执行时展开讨论。
2. 安全部门
安全部门工作人员通常是直接与漏洞管理打交道的人。但是,对于特别关注服务管理(即ITIL服务管理框架中描述的服务管理)的公司,可能只是将漏洞管理作为服务管理的一个部分。不论哪种情况,安全部门和IT部门都应当保持密切合作的关系。这种关系将使漏洞管理实现起来更容易并能获得更好的内部支持。
由于安全是漏洞管理系统的终极目标,因此安全部门自然是漏洞管理计划关键的参与者,并很有可能是漏洞管理程序完全的所有者和操作者。但是,根据业务的类型,也可能是别的团队(如合规团队)承担这个角色。例如,特别倚重支付卡行业(PCI)标准合规的公司可能希望合规部门获得漏洞管理的所有权,而将安全部门作为顾客和关键成员,与之密切合作。
3. 人力资源部门
人力资源部门(HR)是最容易被忽视的部门之一。漏洞管理系统常常发现关键的合规问题,这些问题有时甚至可能成为员工导致的安全事故的证据。HR是报告流程中的很重要的角色,并在安全策略中起着“指挥棒”的作用。最终,HR帮助处理员工的所作所为给公司造成的风险。当需要提起诉讼而不仅仅是进行打补丁和配置管理时,开发出来的任何报告流程都要考虑同HR的关系。
HR也被包括在创建和维护绩效管理计划的工作中。经过仔细的规划,可以将漏洞修复的绩效同员工的绩效目标挂钩。为了实现这一点,可能需要让HR对漏洞管理程序和支撑系统的工作模式有一个清晰的理解。然后HR就能与漏洞管理程序管理者协同工作,一起决定在管理员工时可能遇到的冲突调解过程中,各自应当承担什么样的角色。
4. IT部门
很显然,信息技术同技术和流程密切相关。如果你作为安全管理或合规小组的成员单独工作,建议找一位IT项目经理做搭档,来实现技术部署。一个高层IT管理者对系统和网络修复也能提供很大帮助。漏洞管理程序管理者应该与高层IT管理者合作,共同开发流程、任命监管工作的负责人。你很可能需要从管理者那里得到一些最初的指示,然后提出流程方案。切记提供一张流程图。IT人员能很好地在图表配合下工作,一般都很擅长分析已有设计。
