安全治理、安全計劃和框架(Day002)
管理(Management):管理者為了達到特定目的而對管理對象進行的計劃、組織、指揮、協調和控制的一系列活動。
治理(Governance):治理是或公或私的個人和機構經營管理相同事務的諸多方式的總和。
企業治理:是一套程序、慣例、政策、法律及機構,影響著如何帶領、管理及控制公司。
IT治理:IT治理是一種引導和控制企業各種關係和流程的結構,這種結構安排,旨在通過平衡信息技術及其流程中的風險和收益,增加價值,以實現企業目標。
安全治理:安全治理與企業和IT 治理密切相關,
而且經常交織在一起。這三種治理的目標一般是相同或相關的。安全治理經常放在一個層級較高的層面,是一套安全解決方案和相互緊密聯繫的管理方。安全治理監督和涉及所有的安全相關層面,不僅僅是IT,其目標是為了保障業務的持續運行和向更好的方向發展。為什麼要做安全管理計劃?
安全管理計劃能確保安全策略的適當創建、實現和實施。安全管理計劃將安全功能與組織的戰略、目標、任務和願景相結合,
這包括根據商業論證、預算限制或稀缺資源設計和實現安全性。解決安全管理計劃編製的最有效方法是採用自上而下的方式。安全管理計劃編製的元素包括: 定義安全形色;規定如何管理安全性、誰負責安全性以及如何測試安全性的效力:開發安全策略; 執行風險分析; 以及要求對員工進行安全教育。安全管理計劃必須得到高級管理者的支持和批准。
建立安全計劃的流程
- 公司安全的使命和目標
- 安全體系總體框架
- 安全現狀
- 關鍵舉措和重點工作
- 實施策略選擇
- 工作計劃
- 建設實施
- 安全運營和持續改進
一個安全管理計劃是有很多實體構成的框架:邏輯、管理和物理的保護機制、程序、業務過程和人,這一切一起工作為環境提供一個保護級別。
Zachman框架:是一個二維模型,它使用了6個基本的疑問詞(什麼、如何、哪裡、誰、何時、為何)和不同的視知觀點(計劃人員、所有者、設計人員、建設人員、實施人員和工作人員)二維交叉,它給出了企業的一個整體性理解。
開放群組架構框架(The Open Group Architecture Framework,TOGAF):它由美國國防部開發並提供了設計、實施和治理企業信息架構的方法。架構允許技術架構設計師從企業的不同視角(業務、數據、應用程序和技術)去理解企業,以確保開發出環境及組件所必需的技術,最終實現業務需求。
舍伍德的商業應用安全架構(Sherwood Applied Business Security Architecture,SABSA):是一個分層模型,它在第一層從安全的角度定義了業務需求。
COBIT(Control Objectives for Information and related Technology,信息及相關技術的控制目標):是一組由國際信息系統審計與控制協會(ISACA)和IT治理協會(lTGI)制定的一個治理與管理的框架。
COSO內部控制整合框架:是由反欺詐財務報告全國委員會發起組織委員會(Committee of Sponsoring Organizations,COSO)於1985年開發的,是用來處理財務欺詐活動並彙報。
ISO/IEC 27000系列: ISO和IEC聯合開發的關於如何開發和維護信息安全管理體系的國際標準。
ITIL:作為一種以流程為基礎、以客戶為導向的IT服務管理指導框架,它擺脫了傳統IT管理以技術管理為焦點的弊端,實現了從技術管理到流程管理,再到服務管理的轉化。
能力成熟度模型集成(Capability Maturity Model Integration,CMMI):由Carnegie
Mellon大學開發,以此作為確定組織流程成熟度的一種方式。相關測試、答疑和更多學習資料和活動,請添加微信號 istudy1314 。
推薦閱讀:
※真實案例:當間諜軟體變成「男友追蹤器」……
※藍牙協議實現爆嚴重安全漏洞,可在舊版本設備上構建勒索殭屍網路
※0xB3 再談應急響應Pt.1 ——*nix主機應急響應
※「雌雄大盜」逃亡記:黑客劫持警方無線電網路協助歹徒離犯罪現場2017年9月6日發布
※CTF | 那些比較好玩的stego(正傳)
TAG:信息安全 |