返回
信息安全治理之四

信息安全治理之四

ID:25532965

大小:55.50 KB

页数:6页

时间:2018-11-20

信息安全治理之四_第1页
信息安全治理之四_第2页
信息安全治理之四_第3页
信息安全治理之四_第4页
信息安全治理之四_第5页
资源描述:

《信息安全治理之四》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、信息安全治理之四

2、第110.怎样寻找差距?最高管理层(董事会)和管理执行层可以使用信息安全治理成熟度模型建立组织的安全级别。该模型被应用为:一种自评估等级的方法,确定组织处于哪个级别;一种使用自评估结果设定将来发展目标的方法。这个目标是根据组织希望处于等级表的哪个级别,上一级别哪些是不必要的;一种规划达到目标的项目的方法。这个规划是基于当前状况和这个目标的差距分析的;一种确定项目优先次序的方法。有限次序的确定是根据项目类别和其投资受益率;成熟度级别说明0没有级别l没有评价流程和商业决策的风险;组织没有考虑与安全隐患和项目开发不确定性对业务的影响;没有认识到

3、风险管理关系到IT解决方案的获得和IT服务的传送;l组织没有认识到IT安全的必要性;没有确定保证安全的责任和义务;没有实行支持IT安全管理的措施;没有对IT安全问题的IT安全报告和响应程序;完全没有管理系统安全的流程;l不理解IT运作的风险、弱点和威胁,不理解没有IT服务对业务的影响;不认为服务的连贯性是管理层关心的问题。1初始的/混乱的l组织以一种混乱的方式考虑IT风险,没有遵循定义的流程和政策;每个项目都是采取非正式的项目风险评估;l组织认识到IT安全的必要性,但是安全意识依靠个人;被动考虑IT安全,没有评测IT安全;因为职责不清,发现IT安全问题只引

4、起局部反应;无法预知对IT安全问题的反应;l持续提供服务的职责不是正式的,且只有限的授权;管理层知道有关风险和持续服务的必要性。2可重复的但是根据直觉l开始认识到IT风险的重要性和必要性;有某种风险评估方法,但这个过程虽然仍旧不成熟,但在完善中;lIT安全职责被赋予一个了解IT安全,但没管理权的人;不完整的和有限的安全意识;形成但没分析IT安全信息;没有确定组织特定的IT安全需求,只是被动对IT安全事故做出反应,请第三方处理这些事故;开始制定安全政策,但没有足够的技巧和工具;IT安全报告不完整,易于使人误解,或不能切中要害;l分配了持续服务的职责,但提供的

5、服务不完整;系统可用性报告不完全,没有考虑其对业务的影响。3已定义的流程l组织范围内的风险管理政策定义了怎样进行风险评估;风险评估遵循一个已定义的流程;该流程已形成规范,适用于所有接受过相应培训的员工;l安全意识存在并得到管理层的促进;安全简报已标准化和正式化;定义IT安全程序并使其适合安全政策和程序结构;确定IT安全职责但没有始终如一地得到执行;存在驱动风险分析和安全解决方案地IT安全规划;IT安全报告面向IT而不是面向管理;执行了初步的入侵测试。l管理层不断交流持续服务的必要性;局部采用了高可靠设备和冗余系统;严格维护重要的系统和设备清单。4已管理的和

6、可测量的l根据标准程序评估风险,不遵守此程序的将被IT管理者通报;IT风险管理可能成为具有很高责任的管理职能;管理执行层和IT管理者已确定组织容忍的最大的风险级别,并已有测量风险/收益比的测量标准;l清晰赋予、管理和执行IT安全职责;持续分析IT安全风险和影响;完整的基于特定安全基准线的安全政策和实践;标准化的用户识别、验证和授权;建立员工安全认证考试制度;入侵测试是标准的和正式的改进程序;越来越多利用成本/收益分析,支持安全评测;IT安全流程与组织总体的安全职能保持一致;IT安全报告与管理目标相联系;l强制执行持续服务的职责和标准;始终使用冗余系统,包括

7、使用高可靠设备。5优化级l开始有规律地、有效地执行一个结构化的、组织范围内的风险评估流程;lIT安全是业务管理者和IT管理者的共同责任,它被统一到公司安全管理目标中;IT安全需求被清晰定义,优化并包括于经核实的安全计划中;安全职责在应用软件的设计阶段就被考虑,终端用户负有更多的管理安全的责任;IT安全报告提供变化和出现的风险的早期警告;自动监控关键的系统;利用由自动化的工具支持的正式的事故响应程序快速处理事故;定期的安全评估,以评价安全计划执行效果;系统地收集和分析新的威胁和隐患信息,及时通知并实施恰当地补救措施;入侵测试、安全事故的深层原因分析和预先发现

8、风险是持续改进的基础;在组织范围内集成的安全程序和技术;l持续服务计划和业务持续性计划被集成,调整,并得到日常的维护;购买的持续服务必须得到厂商和主要提供商的安全保证。概述起来,信息安全治理成熟度模型方法和其它成熟度模型一样,具有以下几个方面的优点或作用:信息安全治理成熟度模型涉及信息安全和业务需求的各个方面,是一种进行实用性比较的等级制,能以简单方式测定差异,有助于确定有关信息技术管理和安全性方面的相对水平。使管理部门相对容易地依据等级制对自己定位,并找出需要改善安全管理的地方。组织对自身进行差距分析以确定需要做哪些工作来达到所选级别。05等级是基于一个

9、简单的成熟性量度,体现出一个处理如何从不存在级发展到优化级的管理过

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。