安全治理、安全計劃和框架（Day002）

03-28

管理（Management）：管理者為了達到特定目的而對管理對象進行的計劃、組織、指揮、協調和控制的一系列活動。

治理（Governance）：治理是或公或私的個人和機構經營管理相同事務的諸多方式的總和。

企業治理：是一套程序、慣例、政策、法律及機構，影響著如何帶領、管理及控制公司。

IT治理：IT治理是一種引導和控制企業各種關係和流程的結構，這種結構安排，旨在通過平衡信息技術及其流程中的風險和收益，增加價值，以實現企業目標。

安全治理：安全治理與企業和IT 治理密切相關，

而且經常交織在一起。這三種治理的目標一般是相同或相關的。安全治理經常放在一個層級較高的層面，是一套安全解決方案和相互緊密聯繫的管理方。安全治理監督和涉及所有的安全相關層面，不僅僅是IT，其目標是為了保障業務的持續運行和向更好的方向發展。

為什麼要做安全管理計劃？

安全管理計劃能確保安全策略的適當創建、實現和實施。安全管理計劃將安全功能與組織的戰略、目標、任務和願景相結合，

這包括根據商業論證、預算限制或稀缺資源設計和實現安全性。解決安全管理計劃編製的最有效方法是採用自上而下的方式。安全管理計劃編製的元素包括: 定義安全形色;規定如何管理安全性、誰負責安全性以及如何測試安全性的效力:開發安全策略; 執行風險分析; 以及要求對員工進行安全教育。安全管理計劃必須得到高級管理者的支持和批准。

建立安全計劃的流程

公司安全的使命和目標
安全體系總體框架
安全現狀
關鍵舉措和重點工作
實施策略選擇
工作計劃
建設實施
安全運營和持續改進

一個安全管理計劃是有很多實體構成的框架：邏輯、管理和物理的保護機制、程序、業務過程和人，這一切一起工作為環境提供一個保護級別。

Zachman框架：是一個二維模型，它使用了6個基本的疑問詞（什麼、如何、哪裡、誰、何時、為何）和不同的視知觀點（計劃人員、所有者、設計人員、建設人員、實施人員和工作人員）二維交叉，它給出了企業的一個整體性理解。

開放群組架構框架（The Open Group Architecture Framework，TOGAF）：它由美國國防部開發並提供了設計、實施和治理企業信息架構的方法。架構允許技術架構設計師從企業的不同視角（業務、數據、應用程序和技術）去理解企業，以確保開發出環境及組件所必需的技術，最終實現業務需求。

舍伍德的商業應用安全架構（Sherwood Applied Business Security Architecture，SABSA）：是一個分層模型，它在第一層從安全的角度定義了業務需求。

COBIT（Control Objectives for Information and related Technology，信息及相關技術的控制目標）：是一組由國際信息系統審計與控制協會（ISACA）和IT治理協會（lTGI）制定的一個治理與管理的框架。

COSO內部控制整合框架：是由反欺詐財務報告全國委員會發起組織委員會（Committee of Sponsoring Organizations，COSO）於1985年開發的，是用來處理財務欺詐活動並彙報。

ISO/IEC 27000系列： ISO和IEC聯合開發的關於如何開發和維護信息安全管理體系的國際標準。

ITIL：作為一種以流程為基礎、以客戶為導向的IT服務管理指導框架，它擺脫了傳統IT管理以技術管理為焦點的弊端，實現了從技術管理到流程管理，再到服務管理的轉化。

能力成熟度模型集成（Capability Maturity Model Integration，CMMI）：由Carnegie

Mellon大學開發，以此作為確定組織流程成熟度的一種方式。

相關測試、答疑和更多學習資料和活動，請添加微信號 istudy1314 。