关于安全服务部门下半年规划

    [晴 June 25, 2009 14:55 | by !4p47hy ]
公司让写的关于安全服务部门下半年的下半年规划,写了一下午,头都大了。第一次写这样的东西,都不知道怎么写。贴上来,大家指正下。
PS:以下完全代表个人想法,错误之处在所难免,各位看官,看看就好,欢迎大家交流。

1、概述

XXXX 的安全服务部门主要包括项目的售前、售中和售后,即负责项目周期中的全部流程。为了能够将服务部门的工作开展的更为顺利,为公司带来更多的利益,有必要为安全服务部门制定下半年的规划,主要包括前期对人员的规划以及后期为公司带来的效益等。

2、规划

为了能够更好的进行工作的开展,遵循循序渐进的过程,根据XXXX的具体情况,下半年我们主要分为以下过程来实现我们的规划。

Highslide JS


2.1 初期

2.1.1  组织架构

在规划的初期,我们应该首先要明确目前XXXX安全服务部门的组织架构,根据实际情况,我们得到如下的组织架构图:

Highslide JS


2.1.2  职责的定义

根据公司的规模和项目的实施情况,安全服务部门人数初定为 5-6 人,即 2名高级安全工程师,4 名普通安全工程师,项目经理由高级安全工程师担任。下面就组织结构中的人员职责定义如下:

■ 部门经理

  ◆负责部门工作的总体把控,协调部门成员间的合作;
  ◆负责部门实施项目的总体把控,协调与客户的合作关系;
  ◆负责在项目实施前调配合适的人员至合适的岗位;
  ◆接受公司高层领导的指导和监督;
  ◆定期接受项目经理的项目情况汇报;
  ◆负责部门项目的售前、售后的人员调配;
  ◆负责和公司其他部门沟通与合作;

■ 项目经理

  ◆负责公司服务项目的实施以及和用户的沟通交流,及时商讨项目进展状况,以及对可能发生的问题的预测;
  ◆负责项目的售前、售中、售后项目质量的把控;
  ◆负责项目实施成员工作的分配;
  ◆保证项目的成功,保证项目按时、在预期内达到预期的效果
  ◆保证项目的整体性,协调项目中的各个角色和各种关系,为成员创造良好的工作环境
  ◆定期向部门经理汇报项目的总体情况;

■ 高级安全工程师

  ◆负责公司项目的具体实施工作,在发现问题后及时向项目经理和部门经理汇报;
  ◆负责对普通安全工程师提交的文档的审核;
  ◆领导公司的普通安全工程师小组;
  ◆负责解决用户的安全问题,并向用户陈述服务结果;
  ◆负责公司项目的售前、售中和售后;
  ◆定期向部门经理或项目经理汇报项目和工作的情况

■ 普通安全工程师

  ◆负责公司项目的具体实施工程,在发现问题后及时向高级安全工程师或项目经理汇报;
  ◆负责项目实施过程中的文档整理和报告的撰写,并提交给高级工程师审核;
  ◆负责帮助用户解决相关的安全问题,并向用户陈述问题的原因和处理结果;
  ◆定期向高级安全工程师或部门经理汇报项目和工作的情况

2.1.3  岗位的要求

下面就各岗位的具体要求做相关的说明,详细如下:

■ 项目经理:

  ◆具有网络安全相关的大型项目经验;
  ◆具备良好的项目规划和管理能力;
  ◆语言表达和思维逻辑清晰、性格乐观、能承受压力;
  ◆熟悉信息安全行业;

■ 高级安全工程师

  ◆熟悉或精通Windows、Linux、Unix操作系统;
  ◆熟悉常见安全产品知识,精通入侵检测、漏洞扫描和拒绝服务原理;
  ◆对数据库有详细的了解,并懂得相关的防护措施;
  ◆工作积极主动,认真负责,可主动承担责任;具备良好的组织、沟通、协调能力
  ◆对风险评估有详细的了解,并具有大型项目的实施经验;
  ◆熟悉渗透测试技术;
  ◆语言表达和思维逻辑清晰、性格乐观、能承受压力;
  ◆能够根据用户的实际情况,撰写安全解决方案和规划报告;

■ 普通安全工程师

  ◆熟悉或精通 Windows 、Linux、Unix 操作系统其中的任何一种
  ◆熟悉常见的安全产品知识,熟练运用漏洞扫描工具对用户的服务器和网络设备进行扫描,并能够根据扫描结果撰写相关的扫描报告;
  ◆对风险评估有基本的了解,有一定的项目实施经验;
  ◆工作积极主动,擅于沟通,主动承担责任,具备良好的组织、沟通能力;
  ◆对黑客攻击技术有基本的了解;

2.2 中期

一个安全服务部门最重要的还是团队的整体素质,在本规划的中期的主要任务是对人员素质的提高, 只有将人员的素质提供了,才能进一步的提高团队的整体素质,进而能够在项目实施过程中有更好的表现,造就XXXX安全服务团队的良好口碑

Highslide JS


在人员的素质提升方面主要采取如下的方式来进行:

■ 安全培训
  ◆鼓励部门员工参加相关的技术培训,如 CISP、CISSP、CIW、ISO27001 等安全方面的认证;
■ 项目积累
  ◆在项目实施结束后,应就项目过程中发现的问题进行沟通说明,防止类似的问题再次发生;
  ◆项目结束后,应总结本次项目的经验,发现自身的不足,在以后的项目中改进;
■ 内部交流
  ◆应定期举办部门的内部交流会议,交流项目经验和技术经验,共同提高;
■ 内部培训
  ◆应定期举办内部的技术培训,范围包括但不仅限于产品部署与功能介绍、渗透测试、项目实施、风险评估等方面
■ 技术提升
  ◆部门员工应积极上进,利用工作之余的时间,阅读相关书籍,多做实验,努力提高自身的技术能力

2.3 后期

经过前期和中期的积累,预计后期将在人员的素质、涉及的行业方面都会有所提升。

Highslide JS


从上图我们可以看出随着人员素质的不断提高,项目的质量也会随之提高,同样,成功案例也会增多。在成功案例越来越多的情况下,涉及到的行业的成功案例自然会增多,这样安全服务部门将在今后涉及到更多的行业,包括电信、电力、金融、证券、移动、政府等。
安全服务部门的高级安全工程和安全工程师应肩负公司的售前、售中、售后的任务,为公司的项目提供支持和帮助。

Highslide JS


■ 售前
  ◆在项目的售前阶段,工程师应摸清用户的业务流程,在业务流程中存在的安全隐患,了解用户的安全现状,便于挖掘用户的安全需求。
■ 售后
  ◆在项目的实施过程中,应保证质量的完成,项目应能够达到预期的效果,在项目的过程中应展示 XXXX 的技术优势。
■ 安全咨询
  ◆在成功实施项目后,工程应及时跟进项目,了解用户的最新需求。要能做到用户在日常运维和有新项目上线时,第一个想到的是XXXX 。
■ 客户
  ◆在经过几次项目后,应能够完全获得用户的认可,建立彼此信任关系,便于建立长期的合作
■ 行业
  ◆应使每个项目都能成为我们的成功案例,并且在获得用户的认可后,便于在同行业的推广,扩大用户的范围。
■ 行业扩张
  ◆在2年 内使得在每个行业,XXXX 都有相应的成功案例,并能在各个行业进行推广和扩张。

2.4 收益估算

XXXX 安全服务部门下半年开销主要集中于人员的薪酬、福利、保险等,详细情况如下表 (注:按 6 个月算):

Highslide JS


我们通过预估得到 XXXX 下半年的人员开销预计在 XXXXX 元左右,而我们再来分析下,安全服务部门为公司创造的价值。通过实践我们得知影响公司收益的因素主要有如下几方面:

Highslide JS


由上我们可以看出,影响公司收益的因素主要有成本、项目的数量、客户的数量以及口碑,而口碑和客户数量又是相互联系的,例如:口碑越好,客户数量就越多,客户数量越多,产生的项目就越多,从而公司的收益也就越大。

Highslide JS


公司下半年的毛利预估如下:

预计公司下半年还将实施的大型项目为 XX 个,平均每个项目的毛利在 X 万左右,小型项目如渗透测试、WEB 扫描、巡检、评估加固在 X 个左右,预计毛利在 XXX 万左右,由此我们可以得到公司在下半年的毛利预估如下:

公司的实际收益为 = XXXX 元 – XXXX  元 = XXXXX  元

随着客户数量的不断增多,安全服务部门的不断扩大,必然会增加公司的效益,造就公司的良好口碑,为后期的项目做铺垫。
Technology | Comments(3) | Trackbacks(0) | Reads(11412)
xiaomi
June 28, 2009 10:52
不错啊
ttplay
June 27, 2009 14:46
支持
神秘猪
June 27, 2009 10:06
很强大!~zan
Pages: 1/1 First page 1 Final page
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive