首页 > 其他分享 >02、安全治理

02、安全治理

时间:2023-04-27 14:01:01浏览次数:42  
标签:02 组织 信息安全 目标 --- 安全 治理

信息安全治理(Information Security Governance) 是这样一个过程:为了管理风险、建立和维护一个框架,支持管理架构和流程,以确保信息安全战略与业务目标保持一致并支持业务目标,通过遵守政策和内部控制与适用的法律法规保持一致,并对职责进行分配

一、安全治理和安全管理

为了区分信息安全治理、信息安全管理和信息安全实施/运营之间,我们将通过如下解释:
ISO/IEC 27000将信息安全管理(Information Security Management) 定义如下:

通过保护组织的信息资产来监督和指定实现业务目标所必须的决策。信息安全管理通过指定和使用信息安全政策、程序和指南来表现,然后由与组织相关的所有人员在整个组织中应用。

信息安全实施/运营(Information Security Implementation/Operation) 定义如下:

网络安全框架内定义的安全控制的实施、部署和持续运营。

如下显示了安全治理(高层人员)安全管理(中层人员)\和安全实施/运营(基础人员)\ 三者之间的关系。安全治理级别将任务优先级、可用资源和总体风险承受能力传达到安全管理级别(安全治理是一个开发充分满足业务战略需求的安全程序(Security Program)\的过程)。安全管理级别使用传达的信息作为实现安全程序的风险管理过程的输入。然后,它与安全实施/运营级别写作,以传达安全要求并创建网络安全配置文件。安全实施/运营级别将该配置文件集成到系统开发生命周期中,并持续监控安全性能,它每天执行或管理与当前的基础架构相关的安全相关流程。安全管理级别使用监测的信息评估当前的配置文件,并将评估结果报告给安全治理级别,以告知组织的整体风险管理过程。

如上所述,在信息安全管理体系(ISMS)不断发展的过程中,三个级别之间存在相互作用的关系,从而促进ISMS整体稳步发展。

二、安全治理原则和期望结果

2.1 原则

X.1054 : 信息安全、网络安全和隐私保护-信息安全治理(Information security, cybersecurity and privacy protection - Governance of information security )规定了信息安全治理的关键目标,即信息安全目标和战略与整体业务目标和战略一致。它为了实现这一目的提供了六项原则:
1、建立组织范围内的信息安全:信息安全或网络安全,其关注点应该渗透到组织的机构和智能中。各级管理层应该确保信息安全和信息技术(Information Techno-logy,IT)\与其他活动相结合。顶级管理层应该确保信息安全服务于整体业务目标,并在整个组织内建立责任。
2、采用基于风险的方法:安全治理,包括资源和预算的分配,应该基于组织的风险偏好,考虑到i竞争又是的丧失、合规和责任风险、运营中断、声誉损害和财物损失等风险。
3、设定投资决策的防线:信息安全的投资旨在对组织的目标提供支持。安全治理需要确保信息安全与现有的用于资本和运营指出、法律和法规合规性(regulatory comp-liance)以及进行风险报告的组织流程相结合。
4、确保符合内部要求和外部要求:外部要求包括强制性的法律和法规、认证标准和合同要求。内部要求包括更广泛的组织目标。独立安全审计是确定监控内外部保持一致的一种可接受的方法。
5、为所有利益相关者营造一个安全积极的环境:安全治理应该响应利益相关者(stake-holder)、的期望,记住各种利益相关者可以有不同的价值观和需求。
6、根据业务结果评估绩效:从治理的角度来看,安全绩效不仅包括有效性和效率,还包括对整体业务长期目标(goal)\和具体目的(objective)\的影响。治理主管应该要求对绩效评估计划进行审查,以便将信息安全绩效与业务绩效联系起来进行监控、审计和改进。

信息技术:应用计算机系统,包括硬件和软件。
利益相关者:在组织中有利益相关或关注组织的个人、团体或组织。

2.2 期望结果

IT治理研究所定义了信息安全治理的五个基本结果:
1、战略一致性:信息安全战略和政策与业务战略保持一致是实现组织战略目标的要求。
2、风险管理:信息安全主力的主要推动力是风险管理,包括降低风险、减少或防止对信息资源的潜在影响。
3、资源管理:消耗在信息安全上的资源是开放的,信息安全治理的一个关键目标是使信息安全的预算与企业整体需求保持一致。
4、价值交付:不仅要将信息安全花费的资源限制在整个企业资源目标之内,还需要管理信息安全投资以实现最佳价值。
5、绩效评估:企业需要测量信息安全政策的指标,以确保实现组织目标。

三、安全治理组件

NIST SP 800-100 信息安全手册:管理人员指南列出了安全治理的关键活动或构成有效安全治理的组件:
1、战略规划
2、组织结构
3、角色和职责的建立
4、与企业架构的集成
5、政策和指南中的安全目标文档

2.3.1 战略规划


企业战略规划(Enterprise Strategic Planning):包括为组织定义长期目标和具体目的,以及制定实现这些目标和目的的计划。企业战略计划涉及制定战略计划、持续的监督该计划的执行并定期评估和调整该计划
IT战略规划(IT Strategic Planning):是IT管理与运营与企业战略规划的结合。确保IT规划流程与企业展露额相结合的需求来自两个战略因素:任务必要性和企业成熟度。由于许多组织利用IT最大程度地提高效率,因此组织必须参与战略规划,以确保IT投资产生商业价值,并确保风险评估与企业目标和目的一致,这是支持整个企业使命地必要条件。IT管理必须以战略规划为指导。我们可以采用intel IT战略规划作为指导,完善本组织IT战略规划:

信息安全战略规划(Information Security Strategic Planning):是信息安全管理和运营与企业和IT战略规划的统一。IT在组织内部普遍使用和价值导致了IT向组织提供价值的概念的扩展。因为,IT安全是组织治理和决策过程各个层面的关注点,而信息安全战略规划则是整个企业战略的重要组成部分。

战略规划文件的要素 章节 描述
定义 --- ---
--- 使命、愿景和目标 定义使信息安全程序与组织目标和目的保持一致的战略,包括个别安全项目在实现具体战略举措方面的作用
--- 优先级 描述决定战略和目标优先级的因素
--- 成功标准 定义信息安全程序的成功标准。包括风险管理、弹性和针对不利业务影响的保护
--- 整合 将安全程序与组织的业务和IT战略相结合的战略
--- 威胁防御 描述安全程序如何帮助组织抵御安全威胁
执行 --- ---
--- 运营计划 达成一致目标的年度计划,包括预算、资源、工具、政策和举措达成一致意见。该计划可用于监测进展情况并与利益相关者,在每个项目中确保从一开始就包括信息安全。
--- 监控计划 该计划包括规划和维护利益相关者反馈循环,衡量目标进度,确保战略目标保持有效并符合业务需求
--- 调整计划 该计划包括确保战略目标保持有效性,并符合业务需求以传达价值的业务程序
审查 --- ---
--- 审查计划 该计划描述了参与定期审查信息安全战略的程序和人员/委员会

2.3.2 组织结构

处理网络安全的组织结构在很大程度上取决于组织的规模、类型以及组织对IT的依赖程度。但是,在不同德组织中执行的基本安全治理功能实际上是相同的。如下图使基于X.1054绘制的,在更广泛的语境中说明了这些功能:

安全治理的基本功能如下:
指导(Direct):从企业战略和风险管理的角度指导安全管理。此功能涉及制定安全政策。
监控(Monitor):使用可测量的指标监控安全管理的效果。
评估(Evaluate):为了确保目标的实现以及ISMS及其管理的未来变更,评估和验证安全绩效监控的效果。
沟通(Communicate):像利益相关者报告企业安全状态并评估利益相关者的需求。

2.3.3 角色和职责

安全治理的一个关键方面是定义与信息安全相关的高管的角色和职责。

跟打工人没得关系。

2.3.4 与企业架构集成

安全治理的一个关键要素是开发信息安全架构(Information Security Architecture, 或信息安全体系结构)。其提供有关如何在企业架构中放置和使用安全功能的信息。信息安全体系结构为公共服务或基础设施分配安全需求和控制,它还为实现与风险相适应的信息系统安全、确定适用于信息系统的环境和安全控制提供了基础。
信息安全体系结构是企业架构的一部分,两种广泛使用的开发信息安全体系结构的治理志愿是开放组架构框架(The Open Group Architecture Framework,TOGAF)\和联邦企业架构框架(Federal Enterprise Architecture Framework,FEAF)

2.3.5 政策指导

SP 800-53 Rev. 5,信息系统和组织的安全与隐私控制 )将信息安全政策定义为组织如何管理、保护和分发信息的指令、规则和实践的集合。它是安全治理的重要组成部分,可以具体表达组织的安全目标和目的。政策和指南需要涵盖信息安全的角色和职责、所需安全控制的基线,以及为数据和IT资产的所有用户提供行为规则的指南。

四、安全治理方法

安全治理框架的实施和持续使用使得组织中负责进行治理的机构能够为信息安全和风险管理制定明确的方向,同时证明它们在信息安全和风险管理方面做出的努力。

五、安全治理评估

评估安全治理主要分为三大指标:
行政管理层支持:这是网络安全程序成功的关键组成部分。如果高级管理人员对安全问题有所了解,并在促进安全方面发挥积极作用,那么整个公司都会感受到这种影响。行政管理层的强有力的安全意识和支持提升了安全实践的水平。
业务和信息安全关系:有效的安全治理计划传达了业务目标和目的与信息安全之间的紧密关系。当信息安全纳入企业规划流程时,员工倾向于对其资产的安全性承担更大责任,并且将安全视为推动因素,而非障碍。
信息保护:安全治理的这些指标涉及信息安全机制的普遍性和强度。这些指标反映了企业范围内信息安全问题的认识程度以及应对攻击的准备程度。

标签:02,组织,信息安全,目标,---,安全,治理
From: https://www.cnblogs.com/ColoFly/p/17358711.html

相关文章

  • 基于ISO 21434的汽车网络安全实践
    “转载自维克多汽车技术(上海)有限公司,作者VectorChina”商业领域的IT系统和嵌入式产品的IT系统正在融合为一种多功能系统。相应地,关注汽车网络安全的ISO21434标准应运而生。该标准的意义在于提供了一个指南,可用于降低产品、项目和组织中存在的安全风险。为了有效实施ISO21434标......
  • BUAACTF2023 Writeup题解 by Joooook
    BUAACTF2023WriteupbyJoooook目录MiscWhichElementchatgptzhuzhuzhuzhu'srevengeScreenshotcarzymazeMCCryptoBlockCipherMathKeyExchangeWebmotaReverseoneQuiz'srevenge*SnakeMinesweepobfu可以从队名猜一下博主是哪里人(nooffline......
  • 2023.4.27——软件工程日报
    所花时间(包括上课):3h代码量(行):0行博客量(篇):1篇今天,上午学习,下午学习并开会。我了解到的知识点:1.了解了一些数据库的知识;2.了解了一些python的知识;3.了解了一些英语知识;5.了解了一些Javaweb的知识;4.了解了一些数学建模的知识;6.了解了一些计算机网络的知识;......
  • 请问Pandas怎么能把类似201001这种月度格式改为2021-01-31这种日期格式
    今日鸡汤落叶人何在,寒云路几层。大家好,我是Python进阶者。一、前言前几天在Python最强王者交流群【老松鼠】问了一道Pandas时间处理的问题,如下图所示。二、实现过程一开始以为只是每个数据先加个31后缀,之后日期格式化转换一下应该就可以了,后来发现每个月天数不一样,不可以一概而论,......
  • "Wed Aug 03 19:48:03 +0800 2022"这种字符串,怎么转成时间格式年月日
    今日鸡汤清瑟怨遥夜,绕弦风雨哀。大家好,我是Python进阶者。一、前言昨天在Python黄金交流群【此类生物】问了一个Python时间处理的问题二、实现过程这里一共有两个方法,实现的过程是类似的。这里【瑜亮老师】给了一个回答,代码如下所示:fromdatetimeimportdatetimed='WedAug03......
  • 织密“安全云网”,天翼云探索构建分布式多场景云服务稳定性保障体系!
    近日,中国信息通信研究院(以下简称“中国信通院”)主办,混沌工程实验室承办的信息通信领域系统稳定性保障沙龙·北京站成功举办。沙龙以“共筑数字免疫韧性长城,助力信息通信行业稳定安全运行”为主题,旨在促进信息通信领域系统稳定性保障技术交流,推动信息通信领域稳定安全运行水平提升,加......
  • [20230427]bbed sum apply问题2.txt
    [20230427]bbedsumapply问题2.txt--//使用bbed修改数据块时,最后总要sumapply改写校验和,但是修改redo文件是一个例外,sumapply不会修改.--//通过例子说明:1.环境:SCOTT@book>@ver1PORT_STRING                   VERSION       BANNER--------......
  • 2023年最强半导体品牌Top 10!第一名太强大了!
    日前,英国品牌估值咨询公司“品牌金融”(BrandFinance)发布最新“全球半导体品牌价值20强(BrandFinanceSemiconductor202023)”报告。报告显示,在最强品牌排名中,台积电位列第一。BrandFinance通过计算品牌价值,以及透过市场环境、股东权益、商业表现等诸多指标,评估品牌的相对强......
  • PAT Advanced 1002. A+B for Polynomials
    PATAdvanced1002.A+BforPolynomials1.ProblemDescription:Thistime,youaresupposedtofind \(A+B\) where \(A\) and \(B\) aretwopolynomials.2.InputSpecification:Eachinputfilecontainsonetestcase.Eachcaseoccupies2lines,andeac......
  • 2023五一旅游必备物品清单!快记到手机待办APP里
    2023年的五一假期马上就要到来了,今年的五一假期时间是4月29日—5月3日共5天时间,在不冷不热的季节,非常适合出游,所以有不少网友都想要趁着这次假期外出游玩。不过在旅游时,为了获得愉快的旅行体验,我们在出行前是有很多物品和事情需要准备的,这时候提前记录一份旅游必备物品清单就非常......