當前位置:工程項目OA系統(tǒng) > 泛普各地 > 湖南OA系統(tǒng) > 長沙OA系統(tǒng) > 長沙OA信息化
信息安全治理(五)——創(chuàng)造新的戰(zhàn)略競爭機遇
信息安全治理(五)
——創(chuàng)造新的戰(zhàn)略競爭機遇
孫強 左天祖 孟秀轉(zhuǎn)
5.信息安全治理成熟度評估
最高管理層(董事會)和管理執(zhí)行層可以使用信息安全治理成熟度模型建立組織的安全級別。該模型被應(yīng)用為:
一種自評估等級的方法,確定組織處于哪個級別;
一種使用自評估結(jié)果設(shè)定將來發(fā)展目標的方法。這個目標是根據(jù)組織希望處于等級表的哪個級別,上一級別哪些是不必要的;
一種規(guī)劃達到目標的項目的方法。這個規(guī)劃是基于當前狀況和這個目標的差距分析的;
一種確定項目優(yōu)先次序的方法。有限次序的確定是根據(jù)項目類別和其投資受益率;
成熟度級別
說明
0
沒有級別
l
沒有評價流程和商業(yè)決策的風(fēng)險;組織沒有考慮與安全隱患和項目開發(fā)不確定性對業(yè)務(wù)的影響;沒有認識到風(fēng)險管理關(guān)系到IT解決方案的獲得和IT服務(wù)的傳送;
l
組織沒有認識到IT安全的必要性;沒有確定保證安全的責任和義務(wù);沒有實行支持IT安全管理的措施;沒有對IT安全問題的IT安全報告和響應(yīng)程序;完全沒有管理系統(tǒng)安全的流程;
l
不理解IT運作的風(fēng)險、弱點和威脅,不理解沒有IT服務(wù)對業(yè)務(wù)的影響;不認為服務(wù)的連貫性是管理層關(guān)心的問題。
1
初始的/混亂的
l
組織以一種混亂的方式考慮IT風(fēng)險,沒有遵循定義的流程和政策;每個項目都是采取非正式的項目風(fēng)險評估;
l
組織認識到IT安全的必要性,但是安全意識依靠個人;被動考慮IT安全,沒有評測IT安全;因為職責不清,發(fā)現(xiàn)IT安全問題只引起局部反應(yīng);無法預(yù)知對IT安全問題的反應(yīng);
l
持續(xù)提供服務(wù)的職責不是正式的,且只有限的授權(quán);管理層知道有關(guān)風(fēng)險和持續(xù)服務(wù)的必要性。
2
可重復(fù)的但是根據(jù)直覺
l
開始認識到IT風(fēng)險的重要性和必要性;有某種風(fēng)險評估方法,但這個過程雖然仍舊不成熟,但在完善中;
l
IT安全職責被賦予一個了解IT安全,但沒管理權(quán)的人;不完整的和有限的安全意識;形成但沒分析IT安全信息;沒有確定組織特定的IT安全需求,只是被動對IT安全事故做出反應(yīng),請第三方處理這些事故;開始制定安全政策,但沒有足夠的技巧和工具;IT安全報告不完整,易于使人誤解,或不能切中要害;
l
分配了持續(xù)服務(wù)的職責,但提供的服務(wù)不完整;系統(tǒng)可用性報告不完全,沒有考慮其對業(yè)務(wù)的影響。
3
已定義的流程
l
組織范圍內(nèi)的風(fēng)險管理政策定義了怎樣進行風(fēng)險評估;風(fēng)險評估遵循一個已定義的流程;該流程已形成規(guī)范,適用于所有接受過相應(yīng)培訓(xùn)的員工;
l
安全意識存在并得到管理層的促進;安全簡報已標準化和正式化;定義IT安全程序并使其適合安全政策和程序結(jié)構(gòu);確定IT安全職責但沒有始終如一地得到執(zhí)行;存在驅(qū)動風(fēng)險分析和安全解決方案地IT安全規(guī)劃;IT安全報告面向IT而不是面向管理;執(zhí)行了初步的入侵測試。
l
管理層不斷交流持續(xù)服務(wù)的必要性;局部采用了高可靠設(shè)備和冗余系統(tǒng);嚴格維護重要的系統(tǒng)和設(shè)備清單。
4
已管理的和可測量的
l
根據(jù)標準程序評估風(fēng)險,不遵守此程序的將被IT管理者通報;IT風(fēng)險管理可能成為具有很高責任的管理職能;管理執(zhí)行層和IT管理者已確定組織容忍的最大的風(fēng)險級別,并已有測量風(fēng)險/收益比的測量標準;
l
清晰賦予、管理和執(zhí)行IT安全職責;持續(xù)分析IT安全風(fēng)險和影響;完整的基于特定安全基準線的安全政策和實踐;標準化的用戶識別、驗證和授權(quán);建立員工安全認證考試制度;入侵測試是標準的和正式的改進程序;越來越多利用成本/收益分析,支持安全評測;IT安全流程與組織總體的安全職能保持一致;IT安全報告與管理目標相聯(lián)系;
l
強制執(zhí)行持續(xù)服務(wù)的職責和標準;始終使用冗余系統(tǒng),包括使用高可靠設(shè)備。
5
優(yōu)化級
l
開始有規(guī)律地、有效地執(zhí)行一個結(jié)構(gòu)化的、組織范圍內(nèi)的風(fēng)險評估流程;
l
IT安全是業(yè)務(wù)管理者和IT管理者的共同責任,它被統(tǒng)一到公司安全管理目標中;IT安全需求被清晰定義,優(yōu)化并包括于經(jīng)核實的安全計劃中;安全職責在應(yīng)用軟件的設(shè)計階段就被考慮,終端用戶負有更多的管理安全的責任;IT安全報告提供變化和出現(xiàn)的風(fēng)險的早期警告;自動監(jiān)控關(guān)鍵的系統(tǒng);利用由自動化的工具支持的正式的事故響應(yīng)程序快速處理事故;定期的安全評估,以評價安全計劃執(zhí)行效果;系統(tǒng)地收集和分析新的威脅和隱患信息,及時通知并實施恰當?shù)匮a救措施;入侵測試、安全事故的深層原因分析和預(yù)先發(fā)現(xiàn)風(fēng)險是持續(xù)改進的基礎(chǔ);在組織范圍內(nèi)集成的安全程序和技術(shù);
l
持續(xù)服務(wù)計劃和業(yè)務(wù)持續(xù)性計劃被集成,調(diào)整,并得到日常的維護;購買的持續(xù)服務(wù)必須得到廠商和主要提供商的安全保證。
概述起來,信息安全治理成熟度模型方法和其它成熟度模型一樣,具有以下幾個方面的優(yōu)點或作用:
信息安全治理成熟度模型涉及信息安全和業(yè)務(wù)需求的各個方面,是一種進行實用性比較的等級制,能以簡單方式測定差異,有助于確定有關(guān)信息技術(shù)管理和安全性方面的相對水平。
使管理部門相對容易地依據(jù)等級制對自己定位,并找出需要改善安全管理的地方。組織對自身進行差距分析以確定需要做哪些工作來達到所選級別。0-5等級是基于一個簡單的成熟性量度,體現(xiàn)出一個處理如何從不存在級發(fā)展到優(yōu)化級的管理過程,增加成熟度意味著增強風(fēng)險管理與提高管理效率。
信息安全治理成熟度是測量安全管理處理等級的一種方法,這些等級正是一個給定的信息安全管理處理的慣例,體現(xiàn)各個成熟層次的典型模式,有助于組織將主要精力投入到關(guān)鍵的管理方面。
信息安全治理成熟度模型等級有助于專業(yè)人員向管理層解釋信息安全管理存在的缺陷,并把他們組織的控制慣例與最佳慣例對照起來,從而確定組織的未來發(fā)展目標。
我們認為信息安全治理成熟度模型將有助于解決以下在IT部門中普遍存在的問題:
在競爭如此激烈的市場環(huán)境中,您的公司或部門在信息安全上處于什么水平?
如果您認為有差距,究竟差在哪里?如何去改進?
如果您覺得運作良好,那么您能說出好在哪里?好到何種程度?
如何對信息安全管理進行績效評估?
對于上述問題,如果您覺得有必要拿出一個量化的答案,以助于提升組織的信息安全,那么本文所介紹的信息安全管理評估工具就是一個很好的方法。
未完待續(xù)
瀏覽:信息安全治理(一)
信息安全治理(二)
信息安全治理(三)
信息安全治理(四)
信息安全治理(六)
- 1管中窺豹 IT服務(wù)管理的效果分析(左天祖)
- 2信息安全治理:創(chuàng)造新的戰(zhàn)略競爭機遇之二
- 3企業(yè)集團與供應(yīng)鏈聯(lián)盟--談ERP實施規(guī)劃的兩個維度(上)(何立永)
- 4再談業(yè)務(wù)流程智能(一)(AMT研究院 王艷)
- 5[原創(chuàng)]決定IT預(yù)算的5個因素<br><div align=right>——《管理信息技術(shù)的商業(yè)
- 6從信息不對稱看審計風(fēng)險及由此帶來的無效率行為
- 7如果我們尋找VC投資,我們用什么資本去讓VC對我們投資?
- 8長沙OA信息化實施中常見的幾個長沙OA信息化工具
- 9第三方物流(一)(AMT研究院 張翔)
- 10KMPRO長沙OA信息化系統(tǒng)接口規(guī)范
- 11管理大講堂:制造執(zhí)行系統(tǒng)(二)中國應(yīng)用的現(xiàn)狀
- 12AMT專題:管理大講堂
- 13IT外包治理:審視外包成熟度模型(AMT研究院 周瑛)
- 14IT治理十問十答之六——怎樣確定IT治理結(jié)構(gòu)?
- 15避開并購的IT陷阱
- 16公司治理改革的國際趨勢
- 17協(xié)同OA對短信中非法關(guān)鍵詞查詢與參數(shù)說明
- 18治理還是引導(dǎo)?(AMT研究院 陳嵐 編譯)
- 19IT治理十問十答之二——IT治理在國內(nèi)的現(xiàn)狀
- 20State Street公司進化中的IT治理(一)(AMT研究院 黃慶揚 編譯)
- 21IT組織如何實施服務(wù)臺
- 22標準IT治理架構(gòu)對企業(yè)戰(zhàn)略實現(xiàn)有何影響?(by AMT 劉宇編譯)
- 23IT治理:中國信息化的必由之道(三)
- 24企業(yè)長沙OA信息化的風(fēng)險與防范(一)(AMT研究院 張艷)
- 25SOX三年回眸 高昂審計費似有所值
- 26專題文章-G國稅局的IT治理咨詢案例(AMT 鄧為民)
- 27虛擬企業(yè)長沙OA信息化應(yīng)該注意的問題
- 28“治理與信息化”專題之二 IT治理走來
- 29湖南工程項目造價管理軟件
- 30IBM將擴充隨需應(yīng)變數(shù)據(jù)管理中心
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓
泛普長沙OA信息化其他應(yīng)用
長沙OA 長沙新聞動態(tài) 長沙OA信息化 長沙OA快博 長沙OA軟件行業(yè)資訊 長沙軟件開發(fā)公司 長沙門禁系統(tǒng) 長沙物業(yè)管理軟件 長沙倉庫管理軟件 長沙餐飲管理軟件 長沙網(wǎng)站建設(shè)公司
版權(quán)所有:泛普軟件 渝ICP備14008431號-2 渝公網(wǎng)安備50011202501700號 咨詢電話:400-8352-114