1、安全團隊年終績效評估模板前言2聲明2一級安全分析師3崗位描述32019年評估模板32020年KPI模板4二級安全分析師5崗位描述52019年評估模板52020年KPI模板7三級安全分析師8崗位描述82019年評估模板82020年KPI模板10安全運營經理11崗位描述112019年評估模板112020年KPI模板13安全架構師15崗位描述152019 年評估模板152020年KPI模板17安全總監18崗位描述182019年評估模板182020年KPI模板20前言評估安全團隊的績效是首席信息安全官（CISO）掌握團隊在安全保障方面的表現的重要方法，對后續評估應采取哪些措施來改進安全產品、人員配置、

2、培訓、工作流程的安全態勢是至關重要的。本文檔是首次嘗試總結主要利益相關者在設計、運行安全工作時的關鍵任務和關鍵績效指標（KPI），為CISO提供一個全面、靈活的工具來評估績效，制定未來目標。本文檔包含五個關鍵角色：負責設計和維護安全產品的安全架構師；分別負責識別、響應和主動檢測威脅的一、二、三級安全分析師；以及監督安全工作的安全運營中心（SOC）經理。不言而喻，在這些問題上并沒有萬能的標準，很可能我們分配給多個角色的任務在你的組織內部是由同一個崗位承擔，并且崗位命名也不相同。但這無關緊要重要的是，所有核心安全功能的KPI都有記錄在案，你能夠輕松地將它們映射到團隊中的每個人。每個角色包括兩個模板

3、：一個用于評估2019年，一個用于規劃2020年。這些表格在很大程度上是相似的。在某些地方，我們提供了模擬數據，讓你了解要填寫哪些數據。在填寫自己的數據之前，請記得刪除模擬數據（表格中紅字為模擬數據）。當然，你可以隨意添加刪減，根據你的具體情況加以修改。聲明本文檔是基于與CISO以及全球安全組織之間的大量交互而形成的。評估安全團隊的績效，雖然被廣泛認為是獲得良好安全態勢的關鍵，但在不同的組織中實施方法各不相同。我們的目標是簡化和優化這一過程，并為CISO提供一個簡單易用的模板，該模板可以輕松地根據你的實際需求進行調整。本文檔來自Cynet 360，由安數網絡編譯整理，不足之處，歡迎指正。如涉及

4、侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。電話：400-869-9193 ，負責人：張明一級安全分析師崗位描述一級安全分析師的職責是在前線對安全事件進行初步識別和分類，提供24x7x365全天候支持。該崗位遵循標準操作流程，在安全運營中心（SOC）經理的監督下，與二級安全分析師協作，檢測、鑒別、報告安全事件。2019年評估模板任務績效評估安全事件識別與鑒定 安全產品 安全監控系統工具及技能熟練程度SIEM中EDR高網絡流量分析低其他安全產品 鑒別工具工具及技能熟練程度SysinternalsWireshark其他文檔與上報平臺工具及技能熟練程度Ticketing System

5、處理簡單/低危的安全事件，并將復雜/高危的安全事件上報給二級安全分析師能力處理告警數量占告警總數的比例日均處理告警數 自行解決上報2020年KPI模板 任務KPI 安全事件識別與鑒定安全產品 告警生成器工具及技能熟練程度SIEM指定等級（可提供詳細信息）EDR指定等級（可提供詳細信息）網絡流量分析指定等級（可提供詳細信息）其他指定等級（可提供詳細信息）安全產品 鑒別工具工具及技能熟練程度Sysinternals指定等級（可提供詳細信息）Wireshark指定等級（可提供詳細信息）其他指定等級（可提供詳細信息）文檔與上報平臺工具及技能熟練程度Ticketing System指定等級處理簡單/低危

6、的安全事件，并將復雜/高危的安全事件上報給二級安全分析師能力處理告警數量占告警總數的比例日均處理告警數 自行解決定義目標定義目標定義目標上報定義目標定義目標定義目標二級安全分析師崗位描述二級安全分析師的職責是對一級安全分析師上報的關鍵事件進行技術響應。這包括及時抑制、偵查、修復補救，以及運用在響應過程中獲得的新技術加強防御。2019年評估模板任務績效評估有關安全事件的源頭、范圍、影響的偵查安全偵查工具工具及技能熟練程度SIEMEDR威脅情報反饋（詳述）其他抑制修復行為摘要類型起因數量日均值隔離主機連接到C2C服務器23禁用用戶賬戶憑證已確認被竊取2其他加固創建的工作流和自動化腳本工作流威脅詳情

7、涉及工具/團隊成員能力按持續時長分類的安全事件數量>6小時1天1-3天>3天安全事件數量按規模分類的安全事件數量自行解決與其他安全分析師協作非安全團隊成員參與第三方參與安全事件數量 按響應過程的自動化級別分類的安全事件數量 全自動（現有腳本）部分自動全手動安全事件數量按類型分類的安全事件數量類型數量平均修復耗時響應過程中使用的工具勒索軟件傳播惡意內部攻擊SaaS帳戶憑證被盜其他2020年KPI模板任務績效評估有關安全事件的源頭、范圍、影響的偵查安全偵查工具工具及技能熟練程度SIEM指定等級（可提供詳細信息）EDR指定等級（可提供詳細信息）威脅情報反饋 （詳述）指定等級（可提供詳細信

8、息）其他指定等級（可提供詳細信息）抑制 & 加固創建的工作流和自動化腳本工作流威脅詳情涉及工具/團隊成員指定指定指定指定指定指定指定指定指定指定指定指定能力按持續時長分類的安全事件數量>6小時1天1-3天>3天安全事件數量指定額度指定額度指定額度指定額度按規模分類的安全事件數量自行解決與其他安全分析師協作非安全團隊成員參與第三方參與安全事件數量指定額度指定額度指定額度指定額度按響應過程的自動化級別分類的安全事件數量 全自動（現有腳本）部分自動全手動安全事件數量指定額度指定額度指定額度三級安全分析師崗位描述三級安全分析師的職責是通過持續監測環境中的漏洞，搜尋可能利用漏洞的威脅

9、來主動發現未知的威脅。此外，三級安全分析師還需要根據威脅情報反饋的IOC（入侵指標）進行威脅追蹤，并通過主動滲透測試實時掌握環境的安全態勢。2019年評估模板 任務績效評估威脅追蹤威脅追蹤工具名稱類型熟練程度威脅追蹤結果威脅類型數量偵測方法后門113從VT搜索SHA256連接到釣魚網站16Wireshark流量分析其他提升安全態勢在安全產品注入已知威脅IOC類型數量注入產品SHA256IP防火墻Domain路徑漏洞簽名IDS其他滲透測試測試細目時間焦點動機結果建議年/月/日端點保護在Word文檔中利用惡意宏的幾種成功攻擊78%的模擬惡意宏完全執行，避免了端點保護通過電子郵件保護或高級端點保護產

10、品彌補差距年/月/日網絡設備（路由器和交換機）中的漏洞季度測試發現4個關鍵漏洞申請供應商修補程序其他2020年KPI模板任務績效評估威脅追蹤威脅追蹤工具名稱類型熟練程度指定等級（可提供詳細信息）指定等級（可提供詳細信息）指定等級（可提供詳細信息）指定等級（可提供詳細信息）威脅追蹤結果威脅類型數量偵測方法指定目標數量指定指定目標數量指定指定目標數量指定提升安全態勢在安全產品注入已知威脅IOC類型數量注入產品SHA256目標數量指定IP目標數量指定Domain目標數量指定路徑目標數量指定漏洞簽名目標數量指定其他目標數量指定滲透測試2020年計劃進行的測試時間焦點動機結果建議年/月/日指定年/月/日

11、指定年/月/日指定安全運營經理崗位描述安全運營經理主要負責安全事件的監控、管理和響應。安全運營經理要確保安全事件識別、評估、量化、報告、溝通、緩解和監控等過程的順利進行，還需確保工作遵循服務等級協議（SLA）、過程控制及過程靈活原則，以實現運營目標。2019年評估模板任務績效評估通過招募、雇傭、培訓和評估SOC人員，為SOC配備一支成熟的安全隊伍。新員工招聘 數量 & 崗位姓名入職日期崗位目的2019年的培訓安排（技能/產品/開源工具）聽眾場所 (內部/外部)日期&時長主題為SOC建立各種安全事件的響應工作流程，包括為勒索軟件攻擊等常見場景準備行動手冊，以及偵查高級威脅的流程。

12、SOC主動事件響應工作流程：識別、評估、量化、報告、溝通、緩解一級安全分析師二級安全分析師三級安全分析師SOC 經理勒索軟件傳播異常SaaS登錄可疑用戶帳戶行為其他（根據需求添加）SOC日常工作流程：持續監視并遵守內部和外部安全框架一級安全分析師二級安全分析師三級安全分析師SOC 經理持續監視安全規則 A安全規則 B持續改善和優化現有工作流程2019年期間實施的工作流程變更和更新一級安全分析師二級安全分析師三級安全分析師SOC 經理工作流程1工作流程2工作流程3建立整個SOC的績效考核機制一級安全分析師的KPI二級安全分析師的KPI三級安全分析師的KPI與管理層溝通安全事件的處理SOC的事件報

13、告對象類型頻率內容董事會SOC高層匯報每年度每季度組織機構安全威脅態勢的高層綜述高級管理層攻擊總結嚴重安全事故的總結節點攻擊的根本原因、范圍和影響摘要其他2020年KPI模板任務績效評估通過招募、雇傭、培訓和評估SOC人員，為SOC配備一支成熟的安全隊伍。2020 年招聘目標崗位數量目的2020年的培訓計劃（技能/產品/開源工具）聽眾場所 (內部外部)日期&時長主題為SOC建立各種安全事件的響應工作流程，包括為勒索軟件攻擊等常見場景準備行動手冊，以及偵查高級威脅的流程。SOC主動事件響應工作流程：識別、評估、量化、報告、溝通、緩解一級安全分析師二級安全分析師三級安全分析師SOC 經理指

14、定指定指定指定持續改善和優化現有工作流程2020年計劃實施的工作流程變更和更新一級安全分析師二級安全分析師三級安全分析師SOC 經理工作流程1 工作流程2 工作流程3建立整個SOC的績效考核機制一級安全分析師的KPI二級安全分析師的KPI三級安全分析師的KPI與管理層溝通安全事件的處理2020年SOC的報告計劃對象類型頻率內容指定指定指定指定指定指定指定指定指定指定指定指定安全架構師崗位描述安全架構師負責在組織的IT網絡中設計、構建、測試和實現安全系統，以保護業務和信息數據的安全。安全架構師必須對復雜的IT系統有深入透徹的了解，并掌握最新的安全標準、系統和身份驗證協議以及最佳實踐安全產品。20

15、19 年評估模板任務績效評估確保已實施的安全產品穩定運行已實施的安全產品類別解決的威脅端點邊界身份其他建立良好清晰的工作流程以定期更新簽名、規則和策略，同時負責臨時更新（安全事件、緊急補丁等）。工作流程描述更新負責人頻率IOC注入防火墻規則訪問策略其他定義IT和安全團隊在安全產品運維方面的職責安全產品（防病毒、防火墻、身份和訪問管理等）產品類別職責IT團隊安全團隊防病毒防火墻其他建立并執行安全產品對常見和高級的網絡威脅的彈性測試。2019年執行的滲透測試日期結果推薦步驟評估并購買新的安全產品，以滿足安全和合規要求。2019年的安全產品采購產品類別目的補充替換部署狀態許可期限價值測試方法產品A產

16、品B產品C2020年KPI模板 任務績效評估確保已實施的安全產品穩定運行2020年計劃實施的安全項目類別解決的威脅指定指定指定指定建立良好清晰的工作流程以定期更新簽名、規則和策略，同時負責臨時更新（安全事件、緊急補丁等）。2020年計劃建立的工作流程更新負責人頻率指定指定指定定義IT和安全團隊在安全產品運維方面的職責安全產品（AV、防火墻、身份和訪問管理等）產品類別職責IT團隊安全團隊指定指定指定指定指定指定指定指定指定建立并執行安全產品對常見和高級的網絡威脅的彈性測試。2020年計劃執行的滲透測試日期焦點測試產品指定指定指定指定指定指定指定指定指定評估并購買新的安全產品，以滿足安全和合規要求

17、。2020年安全產品詳細購買計劃產品類別目的補充替換部署狀態許可期限價值測試方法指定指定指定安全總監崗位描述監督組織內所有與安全相關的功能，包括遵守相關框架、購買、部署和維護安全產品以及入侵保護工作流程。安全總監向首席信息官（CIO）匯報，作為本組織內所有網絡安全相關信息的窗口。2019年評估模板任務績效評估遵守法規和最佳實踐框架確定相關合規框架和法規，并確定其優先級法規/框架目的合規狀態PCI-DSS外聘審計員認證NIST CSF差距：ABCGDPR其他為符合框架/法規要求而采取的行動法規/框架行動狀態安全堆棧的持續優化評估已安裝產品的投資回報率產品保留/替換理由Firewall vendo

18、r X保留交付預期保護EDR vendor Y替換運營經費IDS vendor X重新評估評估新安全產品產品狀態理由CASB已部署監測SaaS日志UEBA正在評估3種產品SaaS based SIEM計劃中入侵保護確保以下條目存在清晰良好的工作流程條目詳細工作流程IT健康（漏洞、密碼更改、管理員賬戶使用等）檢測到的攻擊鑒別積極應對安全事件主動搜尋威脅安全團隊安全團隊的招聘/離職工作組崗位人員異動編制情況SOC 二級安全分析師入職1人，離職3人在編5人，滿員SOC一級安全分析師無在編3人，空缺2人安全架構端點專家入職2人，離職1人在編2人，滿員其他2020年KPI模板任務績效評估遵守法規和最佳實踐框架2020年計劃實施的法規/框