ITPub博客

首页 > 数字化转型 > ERP > 信息安全治理:董事会和执行管理层指南(第九章)

信息安全治理:董事会和执行管理层指南(第九章)

原创 ERP 作者:wildtulips 时间:2007-10-31 18:26:19 0 删除 编辑

第九章 如何衡量组织的信息安全治理?

【摘要】董事会和执行管理层可以运用信息安全治理成熟度模型在组织内部建立成熟度等级。提到IT风险,就应该考虑信息安全。这个模型作为一个方法在如下方面的应用日益成熟:

  • 自评估等级,即组织在Figure3的什么位置;
  • 应用自评估结果来设置未来发展目标,这基于组织想要达到的等级,而不需要达到最高等级
  • 基于目标和现状的差距分析来规划项目实现目标
  • 基于项目分类和成本收益分析对项目优先级进行排序
[@more@]

成熟度描述

0 不存在

  • 没有进行过程和业务决策的风险评估。组织不考虑与安全脆弱点、开发项目不确定性相关的业务影响。没有将管理风险与获得IT方案、交付IT服务同样看待。
  • 组织没有认识到信息安全的需求。没有授予责任和义务保障安全。支持信息安全管理的措施也没有实施。没有信息安全突破的汇报和响应过程。系统安全管理过程整体缺失。
  • IT运作的风险、脆弱性和威胁缺乏认识,对IT服务中断的业务影响缺乏认识。服务连续性没有作为必需的管理要点而被考虑。

1 初级的/非正式的

  • 组织非正式的考虑IT风险,没有后续定义的过程或政策。由各项目自己决定是否进行非正式的项目风险评估。
  • 组织认识到信息安全的需求,但安全意识依赖于个人。信息安全定位为事后响应,也无法度量。发现信息安全违规,按照临时指令响应,因为职责是不明确的。对信息安全事件的响应是无法预测的。
  • 服务连续的职责是非正式的,授权有限。管理层开始认识到相关的风险和服务连续的需求。

2 可重复的

  • 出现了“IT风险是重要的,需要考虑”的认识。存在风险评估方法,但是过程还不成熟正在开发。
  • 信息安全责任和义务被授予给一个没有管理权力的信息安全协调人员。安全告知是零星的、有限的。信息安全信息产生了但没有分析。安全趋向于信息安全事件响应和采纳第三方建议,没有关注组织自身的特殊需求。正在开发安全政策,应用的技能和工具不足。信息安全汇报不完整、不中肯、容易误解。
  • 服务连续的职责被分配。服务连续的方法不完整。系统可用性汇报也是不完整的,没有考虑业务影响。

3 已定义的

  • 组织范围的风险管理政策定义了什么时候和如何开展风险评估。风险评估按照定义的过程进行,这个过程是文档化的,通过培训所有员工可用。
  • 存在安全告知且通过管理层推动。安全告知简报是标准的、正式的。信息安全规程已经定义且适应安全政策和规程的结构。信息安全职责被分配下去,但没有得到一致的落实。存在推动风险分析和安全方案的信息安全计划。信息安全汇报关注IT胜于业务。非正式的入侵检测在进行。
  • 管理层始终如一的传达服务连续性的需求。高可用的部件和系统冗余正在独立的应用。关键系统和部件的清单被严格的维护着。

4 可管理和可度量

  • 风险评估是一个标准的规程,它不是由IT管理层发布的。IT风险管理很可能被定义为高层负责的管理功能。管理高层和IT管理层决定组织能够忍受的风险等级以及风险/回报率的标准度量方法。
  • 信息安全责任被清楚的分配、管理和落实。信息安全风险分析和影响分析得到一致的执行。安全政策和实践按照明确的安全基线被实施。安全告知简报是强制性的。用户身份、鉴别、授权是标准的。建立员工安全认证。入侵检测是标准的正式的过程,可引导改进。支撑安全度量实施的成本收益分析正在日益得到应用。信息安全过程与组织整体安全功能协调一致。信息安全汇报与业务目标相联系。
  • 服务连续性的职责和义务被落实。系统冗余实践的部署及高可用性部件的应用考虑了兼容性。

5 优化改进

  • 风险管理发展到结构化的过程在组织范围内落实的阶段,定期的进行且管理良好。
  • 信息安全是业务管理和IT管理的共同职责,集成了企业安全业务目标。信息安全需求被清晰的定义、优化和包括在经过核实的安全计划中。安全功能在设计阶段集成到应用中,终端用户的安全管理职责逐渐增加。在关键系统应用自动的主动监控方法,信息安全汇报能变化的和出现的风险提供早期告警。通过有工具支持的正式的事件响应规程,事件能够被迅速定位。安全评估周期性的对安全计划实施有效性进行评价。新威胁和新脆弱点的信息被系统地采集和分析,足够的规避措施被迅速的传达和实施。入侵检测、安全事件的根因分析和风险的预先识别是持续改进的基础。安全过程和安全技术在组织范围内得到集成。
  • 服务连续性计划和业务连续性计划集成到一起,保持一致和进行日常维护。从卖方和大供应商处采购的连续性服务是安全的。

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/8114942/viewspace-993047/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论
  • 博文量
    12
  • 访问量
    12843