当前位置: 首页 > article >正文

安全问答—评估和应用安全治理原则相关

article 2025/2/22 13:47:53

前言

安全职能需依业务战略等调整,通过有效安全管理计划及组织流程等保障,参考安全控制框架并秉持应尽关心态度,各角色明确责任协同保障安全,同时关注收购等特殊业务场景安全风险及应对措施。

根据业务战略、目标、任务和目的调整安全职能

安全是否可衡量

安全一定是要可衡量的,可衡量就意味着,安全机制必须在各个方面都发挥作用,提供明显的收益,并且要有一个或者多个记录和分析的指标。

安全指标应显示出意外时间数量的减少或尝试检测时间数量的增加。

并且安全指标的跟踪和评估是有效安全治理的一部分。

最有效处理安全管理计划的方法是什么

自上而下方法,上层、高级或管理部门负责启动和定义组织的策略。

中层管理人员负责将安全策略落实到标准、基线、指导方针和程序。

操作管理人员或安全专业人员必须实现安全管理文档中规定的配置。

最终用户必须遵守组织的所有安全策略。

安全管理计划的内容包含哪些

  • 定义安全角色
  • 规定如何管理安全
  • 由谁负责安全
  • 如何校验安全的有效性
  • 制定安全策略
  • 执行风险分析
  • 对员工进行安全教育

这些解释都是比较宽泛了的,要根据实际的场景进行扩展和发散。否则还是太粗糙了,只能当做参考。

安全管理计划的分类有哪些

安全管理计划应该分为:

  • 战略计划
  • 战术计划
  • 操作计划

战略计划一般是5年,且和组织的目标、使命和宗旨一致。
战术计划一般是1年左右,包括安排实现组织目标所需的任务。
操作计划就是在短时间内有效或者使用的内容,就包括详细的安全落地计划。

三位一体组成最终的安全计划

组织流程

组织流程中,应该关注的点是哪些

  • 收购
  • 资产剥离
  • 治理委员会的组织流程

在收购以及兼并会带来哪些风险

  • 信息泄露
  • 数据丢失
  • 停机
  • 未能获得足够的投资回报率(return on investment,ROI)

除此之外,还需要安全监督以及加强审查也是非常重要的一环。

资产剥离,如资产减少,或者员工裁员会增加哪些风险

  • 数据泄露
  • 是否删除和销毁了存储介质
  • 是否存在数据残留
  • 工作是否已经完成
  • 是否签订保密协议
  • 合同中止等

其实按照国内这种职责划分明确的内容而言,针对安全,这些只能说是了解,安全大多数的时候只有建议权,或者是数据清理的规定等,不会设计到人员的更多问题。

针对收购,合并,第三方供应链安全需要做哪些

其实近些年一直老生常谈的第三方供应链的问题,如开源的,免费的,商用的,或多或少都会遇到安全风险问题,而且这方面的可控性普遍没有那么高,所以就需要依赖一些措施

  • 持续的安全监控,管理和评估
  • 外部的第三方审查
  • 安全资质,证书
  • SLA
  • 设立的最低限度的安全要求

这里也衍生出了作为供应商而言,需要满足的一些安全问题,当大家的功能都差不多的时候,稳定性以及安全就会成为竞争的瓶颈。
所以这也是安全人员的工作和职能之一,当然也是一个方向,比如企业安全建设。

组织角色和责任

组织中的安全角色和责任有哪些

高管:责任人,审核权,应尽关心和尽职审查,关注大方向,所有决策都必须由高管定夺
- 应尽关心:制订计划、策略和流程以保护组织的利益。
- 对目标对象进行全面、深入的调查和评估。
安全专业人员:落地实施安全方针人员
资产所有者:最终对资产保护负责
托管员托管员:执行和测试备份、验证数据完整性、部署安全解决方案以及基于分类管理数据存储,更贴合于IT的职能,当然边界并不是很明显
审计人员审计人员:负责审查和验证安全策略是否被正确执行,以及相关的安全解决方案是否完备。一般情况下,公司不是很大,就会由安全人员来进行承担,但是出现的问题就是安全人员的活动缺少了审计的内容。

安全控制框架

COBIT框架相关知识点

COBIT是由信息系统审计和控制协会(ISACA)编制的一套记录IT的最佳安全实践。它规定了安全控制的目标和需求,并鼓励将IT安全思路映射到业务目标。
它将 IT管理过程分为规划与组织、获取与实施、交付与支持以及监控等四大领域,每个领域又细分为多个详细的过程。

六个关键原则:
原则1:为利益相关方创造价值
原则2:采用整体分析法
原则3:动态地治理系统
原则4:把治理从管理中分离出来
原则5:根据企业需求量身定制
原则6:采用端到端的治理系统

COBIT框架的主要目的是帮助企业通过有效的 IT治理,确保企业 IT战略与业务战略保持一致,提高 IT资源的利用效率,控制 IT风险,从而实现企业业务目标。

ISO 国际标准组织

ISO是一个全球性的非政府组织,是国际标准化领域中一个十分重要的组织。
和安全相关的就是ISO/IEC 27000 系列,国际标准,可作为实施组织信息安全及相关管理实践的基础。
很多厂商都会有一个认证就是ISO 的27001,以及一些其他的补充证书,这个相当于是基础证书,拿证是很简单的,但是要完全落地,还是需要一定量的投入和建设才可以。

NSIT 国家标准与技术协会

NIST SP 800-53 信息系统和组织的安全和隐私控制

应尽关心

应尽关心的主要内容包括哪些

  • 安全策略
  • 标准
  • 基线
  • 指南
  • 程序

应尽关心应该是一个正式的安全框架。


http://www.kler.cn/a/556155.html

相关文章:

  • 从CNN到Transformer:遥感影像目标检测的技术演进(矿产勘探、精准农业、城市规划、林业测量、军事目标识别和灾害评估等)
  • 23.3 HtmlElement类
  • 二叉树的前序、中序、后序遍历(递归和非递归实现)
  • MySQL 中的回表是什么?MySQL 中使用索引一定有效吗?如何排查索引效果?在 MySQL 中建索引时需要注意哪些事项?
  • Docker 的安全配置与优化(一)
  • STM32使用NRF2401进行数据传送
  • 【YOLOv8】损失函数
  • leetcode刷题第十三天——二叉树Ⅲ
  • 【JMeter使用-2】JMeter中Java Request采样器的使用指南
  • 【论文精读】VLM-AD:通过视觉-语言模型监督实现端到端自动驾驶
  • Ollama Linux 部署指南
  • 自驾游拼团小程序的设计与实现(ssm论文源码调试讲解)
  • Arm64架构CentOS7服务器搭建Fabric环境
  • HTML Canvas clip 深入全面讲解
  • 【数论】—— 快速幂与扩展欧拉定理
  • 雷军力荐学 AI,背后隐藏着怎样的时代密码?
  • Django-Vue 学习-VUE
  • 在原有基础上的Python正则表达式终极指南,新增高级用法、复杂案例和底层原理分析
  • 如何将Python函数打包成.so库?
  • [c++]--类和对象