2023年3月,北京一家工厂在安全检查中发现违规作业,被罚款5万元。
安全验证其实很简单,但难点在于细节。我们先来说说最重要的事情。去年我们实施的项目量在3000个左右,安全检查占整个项目周期的20%。还有一点是很多团队忽略了一个非常重要的细节——检查的频率。起初我以为一周一次就够了,但后来我意识到这是错误的。关键节点和高峰期需要更密集的检查。等等,还有一件事。记得有一次项目上线前,我们临时增加了全面的安全检查,发现了一个可能导致数据泄露的漏洞。很多人不注意这一点。事实上,用行话来说,这称为雪崩效应。事实上,前面的轻微延迟会降低后面的一切。我认为值得尝试增加关键阶段的检查频率以避免这个陷阱。
上周,2023 年,我的一个朋友正在一家公司进行安全审计。他说,检查中发现了一些安全隐患,例如消防设备陈旧、线路陈旧等。他向相关机构发出了警报,但他们只说:“这取决于你。”算了,安全是重要问题,希望他们认真对待。
这件事很复杂。安全检查其实很简单。它们旨在通过一系列标准化流程来识别和减少潜在风险。首先,我们来说说最重要的事情。比如我们去年做的项目,规模大概是3000人左右。我们严格遵守 ISO 27001 标准。还有一点就是检查的频率和范围一定要明确,不能等到出了问题才检查。另一个关键的细节是检查人员的专业精神,因为不是每个人都能做到这一点。
一开始我以为安全检查只是一个形式,后来发现这是错误的,实际上可以暴露问题。等等,还有别的事。安全审计不能仅基于软件。人的控制也非常重要。例如,检查防火门是否正常关闭,这是一个只能通过人工检查的细节。
因此,我的建议是,在进行安全检查时,要充分考虑检查标准、频率、范围和人员素质。很多人没有注意到这一点,但我认为值得一试。