信息安全治理(Information Security Governance) 是这样一个过程:为了管理风险、建立和维护一个框架,支持管理架构和流程,以确保信息安全战略与业务目标保持一致并支持业务目标,通过遵守政策和内部控制与适用的法律法规保持一致,并对职责进行分配。
一、安全治理和安全管理
为了区分信息安全治理、信息安全管理和信息安全实施/运营之间,我们将通过如下解释:
ISO/IEC 27000将信息安全管理(Information Security Management) 定义如下:
通过保护组织的信息资产来监督和指定实现业务目标所必须的决策。信息安全管理通过指定和使用信息安全政策、程序和指南来表现,然后由与组织相关的所有人员在整个组织中应用。
信息安全实施/运营(Information Security Implementation/Operation) 定义如下:
网络安全框架内定义的安全控制的实施、部署和持续运营。
如下显示了安全治理(高层人员)、安全管理(中层人员)\和安全实施/运营(基础人员)\ 三者之间的关系。安全治理级别将任务优先级、可用资源和总体风险承受能力传达到安全管理级别(安全治理是一个开发充分满足业务战略需求的安全程序(Security Program)\的过程)。安全管理级别使用传达的信息作为实现安全程序的风险管理过程的输入。然后,它与安全实施/运营级别写作,以传达安全要求并创建网络安全配置文件。安全实施/运营级别将该配置文件集成到系统开发生命周期中,并持续监控安全性能,它每天执行或管理与当前的基础架构相关的安全相关流程。安全管理级别使用监测的信息评估当前的配置文件,并将评估结果报告给安全治理级别,以告知组织的整体风险管理过程。
如上所述,在信息安全管理体系(ISMS)不断发展的过程中,三个级别之间存在相互作用的关系,从而促进ISMS整体稳步发展。
二、安全治理原则和期望结果
2.1 原则
X.1054 : 信息安全、网络安全和隐私保护-信息安全治理(Information security, cybersecurity and privacy protection - Governance of information security )规定了信息安全治理的关键目标,即信息安全目标和战略与整体业务目标和战略一致。它为了实现这一目的提供了六项原则:
1、建立组织范围内的信息安全:信息安全或网络安全,其关注点应该渗透到组织的机构和智能中。各级管理层应该确保信息安全和信息技术(Information Techno-logy,IT)\与其他活动相结合。顶级管理层应该确保信息安全服务于整体业务目标,并在整个组织内建立责任。
2、采用基于风险的方法:安全治理,包括资源和预算的分配,应该基于组织的风险偏好,考虑到i竞争又是的丧失、合规和责任风险、运营中断、声誉损害和财物损失等风险。
3、设定投资决策的防线:信息安全的投资旨在对组织的目标提供支持。安全治理需要确保信息安全与现有的用于资本和运营指出、法律和法规合规性(regulatory comp-liance)以及进行风险报告的组织流程相结合。
4、确保符合内部要求和外部要求:外部要求包括强制性的法律和法规、认证标准和合同要求。内部要求包括更广泛的组织目标。独立安全审计是确定监控内外部保持一致的一种可接受的方法。
5、为所有利益相关者营造一个安全积极的环境:安全治理应该响应利益相关者(stake-holder)、的期望,记住各种利益相关者可以有不同的价值观和需求。
6、根据业务结果评估绩效:从治理的角度来看,安全绩效不仅包括有效性和效率,还包括对整体业务长期目标(goal)\和具体目的(objective)\的影响。治理主管应该要求对绩效评估计划进行审查,以便将信息安全绩效与业务绩效联系起来进行监控、审计和改进。
信息技术:应用计算机系统,包括硬件和软件。
利益相关者:在组织中有利益相关或关注组织的个人、团体或组织。
2.2 期望结果
IT治理研究所定义了信息安全治理的五个基本结果:
1、战略一致性:信息安全战略和政策与业务战略保持一致是实现组织战略目标的要求。
2、风险管理:信息安全主力的主要推动力是风险管理,包括降低风险、减少或防止对信息资源的潜在影响。
3、资源管理:消耗在信息安全上的资源是开放的,信息安全治理的一个关键目标是使信息安全的预算与企业整体需求保持一致。
4、价值交付:不仅要将信息安全花费的资源限制在整个企业资源目标之内,还需要管理信息安全投资以实现最佳价值。
5、绩效评估:企业需要测量信息安全政策的指标,以确保实现组织目标。
三、安全治理组件
NIST SP 800-100 信息安全手册:管理人员指南列出了安全治理的关键活动或构成有效安全治理的组件:
1、战略规划
2、组织结构
3、角色和职责的建立
4、与企业架构的集成
5、政策和指南中的安全目标文档
2.3.1 战略规划
企业战略规划(Enterprise Strategic Planning):包括为组织定义长期目标和具体目的,以及制定实现这些目标和目的的计划。企业战略计划涉及制定战略计划、持续的监督该计划的执行并定期评估和调整该计划。
IT战略规划(IT Strategic Planning):是IT管理与运营与企业战略规划的结合。确保IT规划流程与企业展露额相结合的需求来自两个战略因素:任务必要性和企业成熟度。由于许多组织利用IT最大程度地提高效率,因此组织必须参与战略规划,以确保IT投资产生商业价值,并确保风险评估与企业目标和目的一致,这是支持整个企业使命地必要条件。IT管理必须以战略规划为指导。我们可以采用intel IT战略规划作为指导,完善本组织IT战略规划:
信息安全战略规划(Information Security Strategic Planning):是信息安全管理和运营与企业和IT战略规划的统一。IT在组织内部普遍使用和价值导致了IT向组织提供价值的概念的扩展。因为,IT安全是组织治理和决策过程各个层面的关注点,而信息安全战略规划则是整个企业战略的重要组成部分。
战略规划文件的要素 | 章节 | 描述 |
---|---|---|
定义 | --- | --- |
--- | 使命、愿景和目标 | 定义使信息安全程序与组织目标和目的保持一致的战略,包括个别安全项目在实现具体战略举措方面的作用 |
--- | 优先级 | 描述决定战略和目标优先级的因素 |
--- | 成功标准 | 定义信息安全程序的成功标准。包括风险管理、弹性和针对不利业务影响的保护 |
--- | 整合 | 将安全程序与组织的业务和IT战略相结合的战略 |
--- | 威胁防御 | 描述安全程序如何帮助组织抵御安全威胁 |
执行 | --- | --- |
--- | 运营计划 | 达成一致目标的年度计划,包括预算、资源、工具、政策和举措达成一致意见。该计划可用于监测进展情况并与利益相关者,在每个项目中确保从一开始就包括信息安全。 |
--- | 监控计划 | 该计划包括规划和维护利益相关者反馈循环,衡量目标进度,确保战略目标保持有效并符合业务需求 |
--- | 调整计划 | 该计划包括确保战略目标保持有效性,并符合业务需求以传达价值的业务程序 |
审查 | --- | --- |
--- | 审查计划 | 该计划描述了参与定期审查信息安全战略的程序和人员/委员会 |
2.3.2 组织结构
处理网络安全的组织结构在很大程度上取决于组织的规模、类型以及组织对IT的依赖程度。但是,在不同德组织中执行的基本安全治理功能实际上是相同的。如下图使基于X.1054绘制的,在更广泛的语境中说明了这些功能:
安全治理的基本功能如下:
指导(Direct):从企业战略和风险管理的角度指导安全管理。此功能涉及制定安全政策。
监控(Monitor):使用可测量的指标监控安全管理的效果。
评估(Evaluate):为了确保目标的实现以及ISMS及其管理的未来变更,评估和验证安全绩效监控的效果。
沟通(Communicate):像利益相关者报告企业安全状态并评估利益相关者的需求。
2.3.3 角色和职责
安全治理的一个关键方面是定义与信息安全相关的高管的角色和职责。
跟打工人没得关系。
2.3.4 与企业架构集成
安全治理的一个关键要素是开发信息安全架构(Information Security Architecture, 或信息安全体系结构)。其提供有关如何在企业架构中放置和使用安全功能的信息。信息安全体系结构为公共服务或基础设施分配安全需求和控制,它还为实现与风险相适应的信息系统安全、确定适用于信息系统的环境和安全控制提供了基础。
信息安全体系结构是企业架构的一部分,两种广泛使用的开发信息安全体系结构的治理志愿是开放组架构框架(The Open Group Architecture Framework,TOGAF)\和联邦企业架构框架(Federal Enterprise Architecture Framework,FEAF)。
2.3.5 政策指导
SP 800-53 Rev. 5,信息系统和组织的安全与隐私控制 )将信息安全政策定义为组织如何管理、保护和分发信息的指令、规则和实践的集合。它是安全治理的重要组成部分,可以具体表达组织的安全目标和目的。政策和指南需要涵盖信息安全的角色和职责、所需安全控制的基线,以及为数据和IT资产的所有用户提供行为规则的指南。
四、安全治理方法
安全治理框架的实施和持续使用使得组织中负责进行治理的机构能够为信息安全和风险管理制定明确的方向,同时证明它们在信息安全和风险管理方面做出的努力。
五、安全治理评估
评估安全治理主要分为三大指标:
行政管理层支持:这是网络安全程序成功的关键组成部分。如果高级管理人员对安全问题有所了解,并在促进安全方面发挥积极作用,那么整个公司都会感受到这种影响。行政管理层的强有力的安全意识和支持提升了安全实践的水平。
业务和信息安全关系:有效的安全治理计划传达了业务目标和目的与信息安全之间的紧密关系。当信息安全纳入企业规划流程时,员工倾向于对其资产的安全性承担更大责任,并且将安全视为推动因素,而非障碍。
信息保护:安全治理的这些指标涉及信息安全机制的普遍性和强度。这些指标反映了企业范围内信息安全问题的认识程度以及应对攻击的准备程度。