安全角色和职责

已完成

各个安全团队成员必须将自己视为安全团队的一部分，而安全团队是整个组织的一部分。 他们同时也是防御共同敌人的更大安全社区的一部分。

这种整体观通常使团队能够很好地工作。 在团队解决角色和职责演变过程中发现的任何计划外差距和重叠时，这一点尤为重要。

安全责任（职责）

此图描述了安全性中的具体组织职能。 它显示了一个完整的企业安全团队的理想视图，可能也是一些安全团队的愿望视图。 一个或多个人员可以执行每项职能。 基于文化、预算和可用资源等因素，每个人可以履行一个或多个职能。

以下文章提供有关每个职能的信息，并且包含目标摘要。 这些文章讨论了职能会如何随着威胁环境或云技术的变化而演变。 他们还探讨了对职能的成功至关重要的关系和依赖项。

• 策略和标准
• 安全操作
• 安全体系结构
• 安全性和符合性管理
• 人员安全性
• 应用程序安全性和 DevSecOps
• 数据安全性
• 基础结构和终结点安全性
• 标识和密钥管理
• 威胁情报
• 状况管理
• 事件准备

下图总结了安全性计划中的角色和职责，帮助你熟悉这些角色：

有关详细信息，请参阅云安全功能。

将安全性映射到业务成果

在组织层面，安全规则与各行业各组织中广泛存在的标准计划-生成-运行阶段相映射。 随着数字时代和 DevOps 的到来，这个周期正在加速进入一个持续的变化周期。 它还说明了安全性如何映射到正常业务流程。

安全性是一个具有自身独特职能的专业。 集成到正常业务操作中是一个关键元素。

角色类型

在上图中，深色标签将这些职责分组为具有共同技能集和职业模式的典型角色。 这些分组还有助于明确行业趋势如何影响安全专业人员。

• 安全领导：这些角色经常跨职能。 他们确保各个团队相互协调，确定优先级，并为安全性设置文化规范、策略和标准。
• 安全架构师：这些角色跨职能，并提供关键治理功能，以确保所有技术职能在一致的体系结构中顺利运作。
• 安全状况和合规性：这种较新的角色类型代表合规性报告与传统安全性专业（如漏洞管理和配置基线）的日益融合。 虽然安全性和合规性报告的范围和受众不同，但它们回答了问题“组织有多安全？”的不同版本。借助 Microsoft Secure Score 和 Microsoft Defender for Cloud 等工具，对这个问题的回答方式变得越来越相似。
  • 使用来自云服务的按需数据馈送缩短了报告合规性所需的时间。
  • 可用数据范围的扩大使得安全治理能够超越传统软件更新或补丁，并发现和跟踪安全配置和操作做法中的“漏洞”。
• 平台安全工程师：这些技术角色侧重于托管多个工作负载的平台，而这些工作负载主要用于访问控制和资产保护。 这些角色通常被分成具有专业技术技能集的团队， 其中包括网络安全、基础结构和终结点，以及标识和密钥管理。 这些团队同时负责预防性控制和检测性控制，其中检测性控制与 SecOps 合作，而预防性控制主要与 IT 运营合作。 有关详细信息，请参阅安全集成。
• 应用程序安全工程师：这些技术角色侧重于特定工作负载的安全控制，支持经典开发模型和新式 DevOps/DevSecOps 模型。 它们混合了应用程序和开发安全技能，适用于 VM、数据库和容器等常见技术组件的独特代码和基础结构技能。 这些角色可能位于中心 IT 或安全组织中，或者位于业务和开发团队内部，具体取决于组织因素。

现代化

安全体系结构受不同因素影响：

• 持续参与模型：持续发布软件更新和云功能会使固定参与模型过时。 架构师应参与技术主题领域的所有团队，以指导这些团队的功能生命周期的决策制定。
• 云中的安全性：整合云中的管理功能，以减少启用时间和持续维护成本，例如硬件、软件、时间和精力。
• 云的安全性：确保涵盖所有云资产，包括软件即服务 (SaaS) 应用程序、基础结构即服务 (IaaS) VM 以及平台即服务 (PaaS) 应用程序和服务。 包括已批准和未批准的服务的发现和安全性。
• 标识集成：安全架构师应确保与标识团队紧密一致，以帮助组织实现提高工作效率和提供安全保证这两个目标。
• 在安全性设计中集成内部上下文，例如来自状况管理的上下文和安全运营中心调查的事件：包括一些元素，例如用户帐户和设备的相对风险分数、数据敏感度，以及要主动防御的关键安全隔离边界。

推荐内容

• MCRA 安全角色 - YouTube：安全性计划中的角色和职责概述。 该视频讨论了它们如何不断发展以满足新式攻击、云技术和零信任原则的需求。 这个自上而下的角色视图包括董事会和高管。

知识检测

1.

谁负责云中的安全性？

CIO/CISO

云服务提供商

整个团队

CEO

在检查工作前，必须回答所有问题。