FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

安全管理体系是安全管理组织和安全管理制度的的有机结合体。

安全行业常说的三分技术，七分管理，其实说的是安全想要做的好必须依靠人，而安全管理正是约束人的方针，人应该如何开展安全工作，并且如何评估工作开展的情况。

2.1. 安全管理目标

明确的目标才能够成为安全管理工作前进的动力。保障业务可持续发展，让安全服务业务发展。

可量化安全管理指标参考如下：

资产纳管100%，资产更新频率1天

高危漏洞修复率100%，漏洞处置3天

安全通报0事件

安全高危事件100%处置

行业标杆案例5个

.....

安全运维有目标【事前】、安全事件处置【事中】、行业影响力有提升【事后】

2.2. 安全管理流程

遵循PDCA流程，在明晰的组织架构在，由预先定义的安全管理对象，开展相应的安全管理制度，并对安全工作的开展情况进行核查、改进。

在计划阶段，制定安全目标和相关策略，包括风险评估和防范措施；

在执行阶段，将计划付诸实施，确保安全政策和流程得到遵循；

在检查阶段，定期评估实施效果，通过数据分析和内部审计发现问题；

在行动阶段，针对检查中发现的不足，进行调整和改进，从而持续优化安全管理制度。

2.3. 安全管理组成

在安全管理制度的领导下，通过安全管理制度预先设定的要求下，执行安全管理工作。

2.3.1. 安全管理组织

成立信息安全领导小组，自上而下推动信息安全工作。

重点工作如下：

（1）明确架构：由公司层面发文定义安全部门的职能和工作位置，与业务部门平级，定义每个安全人员的岗位，以及岗位的工作职责。

（2）定期汇报：由安全管理小组汇总每月安全情况，花费15分钟给安全领导小组汇报，重点体现目前现状，后续安排，需要的支撑条件。由安全领导小组每季度向最高决策层汇报。

（3）安全考核：业务部门应承担起业务部门的安全考核的部分职责，安全不仅仅是安全部门的事情，应该是大家共同的事情，明确安全工作的考核指标，有人员的考核依据，能够使大多数人信服，多付出会有多回报。

（4）安全培训：定期开展安全岗位的培训，提供人员能力；

（5）能力提升：鼓励参加对内部比赛、外部比赛、行业比赛，对参与获取提供一定的奖励，包括岗位晋升、物质生活等方面，提升人员积极性。

本文为 独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022