如何快速建立IT项目管理领域的安全内控体系,从源头上保障IT产品安全

作者:Jane   时间:2015-10-13 13:50:07



由于缺少专业的网络安全人员,以及实施及运维相关流程和IT产品的成本太高,从源头开始的安全内控,实施SDL(安全开发生命周期)管理,在国内只有大型或巨头公司才能做到。
SDL是一项系统性的工程,其推广和落地,在安全需求、安全设计、方案评审与风险评估、安全测试、安全部署各个环节均离不开安全人员的参与,均高度依赖于安全人员的专业水平。SDL的众多活动环节,需要不同的安全专业人员进行把关,而且需要建立相应的策略、标准、规范、模板或Checklist,以及建立相应的组织,明确角色和职责分工,这是一项比较浩大的工程。大型公司有较大的财力,能够聚集一批安全人才,逐步建立起适应各自业务的SDL体系;但中小公司往往聚焦在业务上,没有太多精力关注安全,也没有招募大批安全人才的意愿,难以建立起一个满足SDL基本要求的团队。SDL这套体系本身,也只有亲自实践过SDL的安全人员,才能有比较深的理解和体会。缺少这类人才,实施SDL的这道门槛就难以跨越过去。
SDL的相关咨询服务,以及相关IT产品(包括项目管理类产品、IT服务管理类产品、SOC或安全应急响应类产品)的引入、改进、实施、运维,均需要较高的成本,以及维持团队的日常运作,对于中小型公司来说不是一笔小数目。
Janusec认为,提供SDL SaaS(软件即服务,即直接提供基于SDL的在线安全开发周期管理平台)服务是降低SDL实施门槛、推广SDL的必经之路。
Janusec提供的安全内控与在线项目管理平台,将”专业安全人员”这个角色和实施SDL所需的相关IT产品转移到SaaS服务提供方,直接提供安全最佳实践,以在线Checklist的形式提供,在流程中,直接创建本阶段对应的安全任务,使用Checklist自检 + 复核/风险评估 的模式,大幅降低安全落地的难度。它源于SDL(安全开发周期)方法论和IT-CMMI,但又不拘泥于SDL的限制,将它和国际/国内巨头公司的项目管理实践结合起来,从源头开始进行安全控制,通过规范的项目管理过程和关键任务的引入,确保开发设计及部署过程中遵从安全最佳实践,保障所交付产品在全生命周期过程中的安全性。
直接使用在线的Janusec SDL SaaS服务之后,可以降低对专业安全人员的依赖,也节省了采购SDL咨询服务,以及项目管理、IT服务管理等产品的费用。