1. 信息安全团队职责

大的方面可以参考组织的信息安全策略，安全团队的主要目标是安全治理，安全治理与组织治理、IT治理目标一致，维持业务流程，追求增长和弹性。小的方面可以说做好安全控制，降低业务实际被入侵的几率。

2. 人员编制和职责

安全团队从无到有大概有2种情况：

• 由运维人员兼任，之后独立出来作为运维部门下面的一个小组，有可能会成为独立的部门，有较高的权限。
• 从合规需求或由其他安全事件导致的从外面引入的安全专家慢慢组建，起点通常比第一种情况要好些。

做了多年的乙方和甲方，觉得安全做不好的原因很大部分是高层只是口头支持，只要不出事情，不会有什么实际投入。这里说下政府的各种检查单位，虽然不一定能从技术上做出什么指导，作为忽悠领导的理由的作用还是不错的。安全工作的推动，获取最高层领导的支持很重要，这个可以是安全部门不好明说的重要任务。

安全部门人员编制，组织业务较小时所有安全工作可以由一个人负责，但是只要业务规模稍大，一个人忙死也完不成所有安全工作的，最后可能会变成由事推人，唯一的安全人员变成一个救火人员，没时间思考和实际改进组织的安全情况。安全部门的大概编制如下：

• 部门负责人
  • 负责组织整体的信息安全规划；
  • 负责向高层沟通申请资源，负责与组织其他部门的协调沟通，共同推进信息安全工作；
  • 负责信息安全团队建设，当然对组织所有安全职员的工作的过程和结果负责；
  • 负责安全事件应急工作处置；
  • 负责推动组织安全规划的落实。
• 合规管理员（可以由部门负责人兼任）
  • 负责安全相关管理制度、管理流程的制定，监督实施情况，修改和改进相关的制度和流程；
  • 负责合规性迎检准备工作，包括联络、迎检工作推动，迎检结果汇报等所有相关工作；
  • 负责与外部安全相关单位联络；
  • 负责安全意识培训、宣传和推广。
• 安全技术负责人（也可以由部门负责人兼任）
  • 业务安全防护整体技术规划和计划，了解组织安全技术缺陷，并能找到方法进行防御；
  • 安全设备运维；
  • 服务器与网络基础设备的安全加固推进工作；
  • 安全事件排查与分析，配合定期编写安全分析报告，专注业内安全事件；
  • 跟踪最新漏洞信息，进行业务产品的安全检查；
  • 负责Web漏洞和系统漏洞修复工作推进，跟踪解决情况，问题收集。
  • 了解最新安全技术趋势。

上面3个职责描述基本是组织安全团队的基本需求，人员可以由1-3人组成，安全技术方面由于有几个方向对专业要求比较高，渗透和代码审计可能需要另外专人负责，如果网络规模和业务规模比较大的情况还需要专门的安全设备运维人员，这部分工作也可以做服务外包。

• Web 渗透/代码审计人员
  • 对组织业务网站、业务系统进行安全评估测试（黑盒、白盒测试）；
  • 对漏洞结果提供解决方案和修复建议。
• 安全设备运维人员
  • 负责设备配置和策略的修改；
  • 负责协助其他部门的变更导致的安全策略修改的实现。

实际安全工作中，供应商的安全产品和已经使用的各种开源工具并不能满足自己组织的实际安全需求，导致有各种2次开发的需求，这部分需求基本是随时的，安全部门自己有合适的点子就可以自己尝试实现，类似运维开发的需求，安全部门最好有一个安全开发人员，能力强的渗透可以兼任，主要职责如下：

• 安全开发
  • 根据组织安全的需要开发安全辅助工具或平台；
  • 参与安全系统的需求分析、设计、编码等开发工作；
  • 维护公司现有的安全程序与系统。

3. 团队建设建议

主要下面4点：

1. 一定要做安全团队自己的知识库，将组织的所有安全管理文档和记录文档集中放到一起，安全部门和组织所有所有人员都知道在那能找到安全相关的制度和文档，也能找到相关流程的执行记录。另一个好处是安全知识累积，由安全人员离职或职位变动导致的后果也能很快由新入职人员补上。还有个好处是在迎接检查时不需要到处找文档和记录。
2. 大部分甲方安全团队的能力不是很强（互联网公司的除外），安全团队人员也需要不断的学习，内部的分享工作与年终总结的工作挂钩，鼓励内外部的知识分享，鼓励参加各种安全沙龙和会议，可以花一定的时间一起学习各个安全会议开放的演讲PPT。
3. 定期组织威胁分析会，根据组织实际的业务情况和最新的漏洞情况分析可能遭受的攻击场景，评估后果以及防御措施，总结应急备忘录。
4. 有条件让安全人员在组织的其他部门呆一段时间，实际参与到其他部门的工作中，了解其他部门的实际情况，熟悉业务和其他部门的人员，好推动安全措施的落实。