監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 甲方項目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關(guān)閉

信息安全治理(五)——創(chuàng)造新的戰(zhàn)略競爭機遇

申請免費試用、咨詢電話:400-8352-114

AMTeam.org

信息安全治理(五)

——創(chuàng)造新的戰(zhàn)略競爭機遇

孫強 左天祖 孟秀轉(zhuǎn)



5.信息安全治理成熟度評估

最高管理層(董事會)和管理執(zhí)行層可以使用信息安全治理成熟度模型建立組織的安全級別。該模型被應(yīng)用為:
 
一種自評估等級的方法,確定組織處于哪個級別;

一種使用自評估結(jié)果設(shè)定將來發(fā)展目標的方法。這個目標是根據(jù)組織希望處于等級表的哪個級別,上一級別哪些是不必要的;

一種規(guī)劃達到目標的項目的方法。這個規(guī)劃是基于當前狀況和這個目標的差距分析的;

一種確定項目優(yōu)先次序的方法。有限次序的確定是根據(jù)項目類別和其投資受益率;

成熟度級別

說明

0

沒有級別

l 沒有評價流程和商業(yè)決策的風(fēng)險;組織沒有考慮與安全隱患和項目開發(fā)不確定性對業(yè)務(wù)的影響;沒有認識到風(fēng)險管理關(guān)系到IT解決方案的獲得和IT服務(wù)的傳送;

l 組織沒有認識到IT安全的必要性;沒有確定保證安全的責任和義務(wù);沒有實行支持IT安全管理的措施;沒有對IT安全問題的IT安全報告和響應(yīng)程序;完全沒有管理系統(tǒng)安全的流程;

l 不理解IT運作的風(fēng)險、弱點和威脅,不理解沒有IT服務(wù)對業(yè)務(wù)的影響;不認為服務(wù)的連貫性是管理層關(guān)心的問題。

1

初始的/混亂的

l 組織以一種混亂的方式考慮IT風(fēng)險,沒有遵循定義的流程和政策;每個項目都是采取非正式的項目風(fēng)險評估;

l 組織認識到IT安全的必要性,但是安全意識依靠個人;被動考慮IT安全,沒有評測IT安全;因為職責不清,發(fā)現(xiàn)IT安全問題只引起局部反應(yīng);無法預(yù)知對IT安全問題的反應(yīng);

l 持續(xù)提供服務(wù)的職責不是正式的,且只有限的授權(quán);管理層知道有關(guān)風(fēng)險和持續(xù)服務(wù)的必要性。

2

可重復(fù)的但是根據(jù)直覺

l 開始認識到IT風(fēng)險的重要性和必要性;有某種風(fēng)險評估方法,但這個過程雖然仍舊不成熟,但在完善中;

l IT安全職責被賦予一個了解IT安全,但沒管理權(quán)的人;不完整的和有限的安全意識;形成但沒分析IT安全信息;沒有確定組織特定的IT安全需求,只是被動對IT安全事故做出反應(yīng),請第三方處理這些事故;開始制定安全政策,但沒有足夠的技巧和工具;IT安全報告不完整,易于使人誤解,或不能切中要害;

l 分配了持續(xù)服務(wù)的職責,但提供的服務(wù)不完整;系統(tǒng)可用性報告不完全,沒有考慮其對業(yè)務(wù)的影響。

3

已定義的流程

l 組織范圍內(nèi)的風(fēng)險管理政策定義了怎樣進行風(fēng)險評估;風(fēng)險評估遵循一個已定義的流程;該流程已形成規(guī)范,適用于所有接受過相應(yīng)培訓(xùn)的員工;

l 安全意識存在并得到管理層的促進;安全簡報已標準化和正式化;定義IT安全程序并使其適合安全政策和程序結(jié)構(gòu);確定IT安全職責但沒有始終如一地得到執(zhí)行;存在驅(qū)動風(fēng)險分析和安全解決方案地IT安全規(guī)劃;IT安全報告面向IT而不是面向管理;執(zhí)行了初步的入侵測試。

l 管理層不斷交流持續(xù)服務(wù)的必要性;局部采用了高可靠設(shè)備和冗余系統(tǒng);嚴格維護重要的系統(tǒng)和設(shè)備清單。

4

已管理的和可測量的

l 根據(jù)標準程序評估風(fēng)險,不遵守此程序的將被IT管理者通報;IT風(fēng)險管理可能成為具有很高責任的管理職能;管理執(zhí)行層和IT管理者已確定組織容忍的最大的風(fēng)險級別,并已有測量風(fēng)險/收益比的測量標準;

l 清晰賦予、管理和執(zhí)行IT安全職責;持續(xù)分析IT安全風(fēng)險和影響;完整的基于特定安全基準線的安全政策和實踐;標準化的用戶識別、驗證和授權(quán);建立員工安全認證考試制度;入侵測試是標準的和正式的改進程序;越來越多利用成本/收益分析,支持安全評測;IT安全流程與組織總體的安全職能保持一致;IT安全報告與管理目標相聯(lián)系;

l 強制執(zhí)行持續(xù)服務(wù)的職責和標準;始終使用冗余系統(tǒng),包括使用高可靠設(shè)備。

5

優(yōu)化級

l 開始有規(guī)律地、有效地執(zhí)行一個結(jié)構(gòu)化的、組織范圍內(nèi)的風(fēng)險評估流程;

l IT安全是業(yè)務(wù)管理者和IT管理者的共同責任,它被統(tǒng)一到公司安全管理目標中;IT安全需求被清晰定義,優(yōu)化并包括于經(jīng)核實的安全計劃中;安全職責在應(yīng)用軟件的設(shè)計階段就被考慮,終端用戶負有更多的管理安全的責任;IT安全報告提供變化和出現(xiàn)的風(fēng)險的早期警告;自動監(jiān)控關(guān)鍵的系統(tǒng);利用由自動化的工具支持的正式的事故響應(yīng)程序快速處理事故;定期的安全評估,以評價安全計劃執(zhí)行效果;系統(tǒng)地收集和分析新的威脅和隱患信息,及時通知并實施恰當?shù)匮a救措施;入侵測試、安全事故的深層原因分析和預(yù)先發(fā)現(xiàn)風(fēng)險是持續(xù)改進的基礎(chǔ);在組織范圍內(nèi)集成的安全程序和技術(shù);

l 持續(xù)服務(wù)計劃和業(yè)務(wù)持續(xù)性計劃被集成,調(diào)整,并得到日常的維護;購買的持續(xù)服務(wù)必須得到廠商和主要提供商的安全保證。

概述起來,信息安全治理成熟度模型方法和其它成熟度模型一樣,具有以下幾個方面的優(yōu)點或作用:

信息安全治理成熟度模型涉及信息安全和業(yè)務(wù)需求的各個方面,是一種進行實用性比較的等級制,能以簡單方式測定差異,有助于確定有關(guān)信息技術(shù)管理和安全性方面的相對水平。

使管理部門相對容易地依據(jù)等級制對自己定位,并找出需要改善安全管理的地方。組織對自身進行差距分析以確定需要做哪些工作來達到所選級別。0-5等級是基于一個簡單的成熟性量度,體現(xiàn)出一個處理如何從不存在級發(fā)展到優(yōu)化級的管理過程,增加成熟度意味著增強風(fēng)險管理與提高管理效率。

信息安全治理成熟度是測量安全管理處理等級的一種方法,這些等級正是一個給定的信息安全管理處理的慣例,體現(xiàn)各個成熟層次的典型模式,有助于組織將主要精力投入到關(guān)鍵的管理方面。

信息安全治理成熟度模型等級有助于專業(yè)人員向管理層解釋信息安全管理存在的缺陷,并把他們組織的控制慣例與最佳慣例對照起來,從而確定組織的未來發(fā)展目標。

我們認為信息安全治理成熟度模型將有助于解決以下在IT部門中普遍存在的問題:

在競爭如此激烈的市場環(huán)境中,您的公司或部門在信息安全上處于什么水平?

如果您認為有差距,究竟差在哪里?如何去改進?

如果您覺得運作良好,那么您能說出好在哪里?好到何種程度?

如何對信息安全管理進行績效評估?

對于上述問題,如果您覺得有必要拿出一個量化的答案,以助于提升組織的信息安全,那么本文所介紹的信息安全管理評估工具就是一個很好的方法。

未完待續(xù)

瀏覽:信息安全治理(一)

信息安全治理(二)

信息安全治理(三)

信息安全治理(四)

信息安全治理(六)
發(fā)布:2007-03-25 10:08    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
長沙OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費獲取試用系統(tǒng)

QQ在線咨詢