信息安全治理（五）——?jiǎng)?chuàng)造新的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇

說(shuō)明

0

沒(méi)有級(jí)別

l 沒(méi)有評(píng)價(jià)流程和商業(yè)決策的風(fēng)險(xiǎn)；組織沒(méi)有考慮與安全隱患和項(xiàng)目開(kāi)發(fā)不確定性對(duì)業(yè)務(wù)的影響；沒(méi)有認(rèn)識(shí)到風(fēng)險(xiǎn)管理關(guān)系到IT解決方案的獲得和IT服務(wù)的傳送；

l 組織沒(méi)有認(rèn)識(shí)到IT安全的必要性；沒(méi)有確定保證安全的責(zé)任和義務(wù)；沒(méi)有實(shí)行支持IT安全管理的措施；沒(méi)有對(duì)IT安全問(wèn)題的IT安全報(bào)告和響應(yīng)程序；完全沒(méi)有管理系統(tǒng)安全的流程；

l 不理解IT運(yùn)作的風(fēng)險(xiǎn)、弱點(diǎn)和威脅，不理解沒(méi)有IT服務(wù)對(duì)業(yè)務(wù)的影響；不認(rèn)為服務(wù)的連貫性是管理層關(guān)心的問(wèn)題。

1

初始的/混亂的

l 組織以一種混亂的方式考慮IT風(fēng)險(xiǎn)，沒(méi)有遵循定義的流程和政策；每個(gè)項(xiàng)目都是采取非正式的項(xiàng)目風(fēng)險(xiǎn)評(píng)估；

l 組織認(rèn)識(shí)到IT安全的必要性，但是安全意識(shí)依靠個(gè)人；被動(dòng)考慮IT安全，沒(méi)有評(píng)測(cè)IT安全；因?yàn)槁氊?zé)不清，發(fā)現(xiàn)IT安全問(wèn)題只引起局部反應(yīng)；無(wú)法預(yù)知對(duì)IT安全問(wèn)題的反應(yīng)；

l 持續(xù)提供服務(wù)的職責(zé)不是正式的，且只有限的授權(quán)；管理層知道有關(guān)風(fēng)險(xiǎn)和持續(xù)服務(wù)的必要性。

2

可重復(fù)的但是根據(jù)直覺(jué)

l 開(kāi)始認(rèn)識(shí)到IT風(fēng)險(xiǎn)的重要性和必要性；有某種風(fēng)險(xiǎn)評(píng)估方法，但這個(gè)過(guò)程雖然仍舊不成熟，但在完善中；

l IT安全職責(zé)被賦予一個(gè)了解IT安全，但沒(méi)管理權(quán)的人；不完整的和有限的安全意識(shí)；形成但沒(méi)分析IT安全信息；沒(méi)有確定組織特定的IT安全需求，只是被動(dòng)對(duì)IT安全事故做出反應(yīng)，請(qǐng)第三方處理這些事故；開(kāi)始制定安全政策，但沒(méi)有足夠的技巧和工具；IT安全報(bào)告不完整，易于使人誤解，或不能切中要害；

l 分配了持續(xù)服務(wù)的職責(zé)，但提供的服務(wù)不完整；系統(tǒng)可用性報(bào)告不完全，沒(méi)有考慮其對(duì)業(yè)務(wù)的影響。

3

已定義的流程

l 組織范圍內(nèi)的風(fēng)險(xiǎn)管理政策定義了怎樣進(jìn)行風(fēng)險(xiǎn)評(píng)估；風(fēng)險(xiǎn)評(píng)估遵循一個(gè)已定義的流程；該流程已形成規(guī)范，適用于所有接受過(guò)相應(yīng)培訓(xùn)的員工；

l 安全意識(shí)存在并得到管理層的促進(jìn)；安全簡(jiǎn)報(bào)已標(biāo)準(zhǔn)化和正式化；定義IT安全程序并使其適合安全政策和程序結(jié)構(gòu)；確定IT安全職責(zé)但沒(méi)有始終如一地得到執(zhí)行；存在驅(qū)動(dòng)風(fēng)險(xiǎn)分析和安全解決方案地IT安全規(guī)劃；IT安全報(bào)告面向IT而不是面向管理；執(zhí)行了初步的入侵測(cè)試。

l 管理層不斷交流持續(xù)服務(wù)的必要性；局部采用了高可靠設(shè)備和冗余系統(tǒng)；嚴(yán)格維護(hù)重要的系統(tǒng)和設(shè)備清單。

4

已管理的和可測(cè)量的

l 根據(jù)標(biāo)準(zhǔn)程序評(píng)估風(fēng)險(xiǎn)，不遵守此程序的將被IT管理者通報(bào)；IT風(fēng)險(xiǎn)管理可能成為具有很高責(zé)任的管理職能；管理執(zhí)行層和IT管理者已確定組織容忍的最大的風(fēng)險(xiǎn)級(jí)別，并已有測(cè)量風(fēng)險(xiǎn)/收益比的測(cè)量標(biāo)準(zhǔn)；

l 清晰賦予、管理和執(zhí)行IT安全職責(zé)；持續(xù)分析IT安全風(fēng)險(xiǎn)和影響；完整的基于特定安全基準(zhǔn)線的安全政策和實(shí)踐；標(biāo)準(zhǔn)化的用戶(hù)識(shí)別、驗(yàn)證和授權(quán)；建立員工安全認(rèn)證考試制度；入侵測(cè)試是標(biāo)準(zhǔn)的和正式的改進(jìn)程序；越來(lái)越多利用成本/收益分析，支持安全評(píng)測(cè)；IT安全流程與組織總體的安全職能保持一致；IT安全報(bào)告與管理目標(biāo)相聯(lián)系；

l 強(qiáng)制執(zhí)行持續(xù)服務(wù)的職責(zé)和標(biāo)準(zhǔn)；始終使用冗余系統(tǒng)，包括使用高可靠設(shè)備。

5

優(yōu)化級(jí)

l 開(kāi)始有規(guī)律地、有效地執(zhí)行一個(gè)結(jié)構(gòu)化的、組織范圍內(nèi)的風(fēng)險(xiǎn)評(píng)估流程；

l IT安全是業(yè)務(wù)管理者和IT管理者的共同責(zé)任，它被統(tǒng)一到公司安全管理目標(biāo)中；IT安全需求被清晰定義，優(yōu)化并包括于經(jīng)核實(shí)的安全計(jì)劃中；安全職責(zé)在應(yīng)用軟件的設(shè)計(jì)階段就被考慮，終端用戶(hù)負(fù)有更多的管理安全的責(zé)任；IT安全報(bào)告提供變化和出現(xiàn)的風(fēng)險(xiǎn)的早期警告；自動(dòng)監(jiān)控關(guān)鍵的系統(tǒng)；利用由自動(dòng)化的工具支持的正式的事故響應(yīng)程序快速處理事故；定期的安全評(píng)估，以評(píng)價(jià)安全計(jì)劃執(zhí)行效果；系統(tǒng)地收集和分析新的威脅和隱患信息，及時(shí)通知并實(shí)施恰當(dāng)?shù)匮a(bǔ)救措施；入侵測(cè)試、安全事故的深層原因分析和預(yù)先發(fā)現(xiàn)風(fēng)險(xiǎn)是持續(xù)改進(jìn)的基礎(chǔ)；在組織范圍內(nèi)集成的安全程序和技術(shù)；

l 持續(xù)服務(wù)計(jì)劃和業(yè)務(wù)持續(xù)性計(jì)劃被集成，調(diào)整，并得到日常的維護(hù)；購(gòu)買(mǎi)的持續(xù)服務(wù)必須得到廠商和主要提供商的安全保證。

瀏覽：信息安全治理（一）

信息安全治理（二）

信息安全治理（三）

信息安全治理（四）

信息安全治理（六）