2017-03-01 10:41
信息安全治理(四)
——创造新的战略竞争机遇
孙强 左天祖 孟秀转
4. 全面理解信息安全治理
正确实施信息安全治理将提供4个基本成果:
战略联盟
业务需求驱动安全需求;
安全方案适应业务流程;
信息安全投资与企业战略和最大风险状况密切相关。
价值传递
一套安全实务标准,即最佳安全实务基准;
正确区分行动的优先次序并分配给有最大影响和商业利益的地方;
规范的、商业化的解决方案;
完整的解决方案,包括组织、流程和技术;
持续改进的文化。
风险管理
最大风险状况;
了解风险暴露程度;
告知管理风险的优先行动。
绩效测量
定义测量标准;
反馈进展的测量程序;
独立性保证。
安全治理负责人需要提出一些问题,以帮助人们思考和提高安全意识,发现信息安全问题,并初步了解解决这些问题的方法。
用来发现信息安全状况的问题
上一次管理执行层关注安全相关的决定是什么时候?管理执行层多长时间参与一次安全方案的改进?
管理执行层知道谁负责安全吗?负责人自己知道吗?其他人都知道吗?
当碰到安全事故时,人们这么认为吗?人们忽视它吗?他们知道怎样处理它吗?
每个人知道公司有多少台计算机吗?管理执行层知道计算机的遗失吗?
管理执行层识别了泄漏后造成困难或竞争劣势的所有信息(客户资料,战略规划,研究报告等)吗?
公司最近遭到病毒攻击是什么时候?上一年受到多少次病毒攻击?
有否有人探测公司的网络?有过非法入侵吗?频率是多少?对公司有什么影响?
是否每个人都知道有多少人使用公司的系统?知道他们能否使用,或使用其做什么吗?
事后处理还是事前预防安全问题?
根据损失的收入,丢失的客户和投资者的信心,评估一次严重的安全事故的后果是什么?
用来发现管理执行层怎样看待信息安全的问题:
企业明确信息安全相对于IT和安全风险的定位吗?企业趋向于避免风险还是接受风险?
用于信息安全的费用是多少?用于哪些方面?怎样花费的?上一年进行了什么项目提高信息安全?
上一年多少员工接受了安全培训?管理层多少人接受了培训?
组织怎样发现安全事故?怎样向上级汇报这些事故?管理执行层采取什么行动?
管理执行层如何准备从主要的安全事故中恢复吗?
有否涉及所有上述问题的安全工作程序?负责人的职责清楚吗?
自我评价信息安全的实务准则
管理执行层可以确信在公司安全得到足够考虑吗?
管理执行层知道最新的安全问题和最佳实践吗?
其他人在做什么,企业怎样正确处理与他们的关系?
行业最佳实践是什么,本企业怎样与其比较?
管理执行层清楚表明和宣贯企业对信息安全的需求吗?
管理执行层认为企业将投资多少用于信息安全的提升?
在制定商业和IT战略时考虑了信息安全吗?
公司跟踪安全风险和可用的技术方案吗?
管理执行层定期获得安全状况和安全提升项目效果的报告吗?
管理执行层建立了独立的IT安全审计程序吗?他们关注审计结论的执行效果吗?
下列问题为最高管理层(董事会)和管理执行层开始实施有效的信息安全治理提供了一种的正确的方法,也是负责信息安全治理的人将要提的问题:
需要最高管理层(董事会)回答的问题
信息和信息安全对组织重要吗?如果是的,最高管理层(董事会)理解信息安全的重要性吗?
最高管理层(董事会)制定了信息安全政策吗?如果有,该政策得到持续的更新吗?如果没有制定该政策,原因是什么?
组织哪三项信息资产最关键?
最高管理层(董事会)对这三项关键的信息资产的可用性、保密性和完整性的置信度有多高?
最高管理层(董事会)知道组织最有价值的IT基础设施吗?
在关键信息不可用、受到损害或遗失时,组织能继续运作吗?
根据损失的收入,丢失的客户和投资者的信心评估,一次严重的安全事故的后果是什么?IT基础设施失效的后果是什么?
信息资产管理要遵循哪些法规?最高管理层(董事会)是否建立确保他们一致的制度?
信息安全政策要求最高管理层(董事会)和管理执行层关注信息安全(“高层重视”),包括发现的风险,建立恰当的基础设施管理和控制风险,并建立适当的控制和反馈程序吗?
组织的网络经由第三方检测过吗?
组织给所有人提供信息安全意识培训,安全是员工和管理者业绩评估的一部分吗?
最高管理层(董事会)确信组织足够重视安全吗?
需要管理执行层回答的问题
怎样向最高管理层(董事会)通报信息安全问题?最近一次报给最高管理层(董事会)关于安全风险和安全提升状况简报是何时?
最近一次评估关键信息安全资产是何时?计划下一次是什么时候?
风险评估是否考虑在关键信息不可用、泄密或遗失时,组织能继续运作?它包括从收入损失、失去客户和投资者信息几方面考虑的安全事故的后果吗?它测定信息基础设施失效的后果吗?
风险评估考虑哪些信息资产受到法规的监管吗?它有适当的程序确保其符合这些法规吗?
IT安全风险是IT管理会议的常规议题吗?管理层一直在跟踪改进活动吗?
其他人在做什么,组织怎样保持与他们的关系?本行业最佳实务是什么?组织怎样与其对比?
最近一次发布信息安全政策声明是什么时候?
政策声明包括:
——哪些是关键的信息资产?
——最高管理层(董事会)和管理执行层对信息安全的重视(“高层重视”)?
——已发现了什么风险?
——是否建立了管理风险的控制机制?
——控制和反馈程序?
最近一次评审信息安全负责人业绩是什么时候?信息安全负责人有向上层报告安全问题的合适途径吗?
建立了何种安全措施保护连接到因特网的系统不受病毒和其它攻击?有效监控系统并向管理执行层报告监控结果了吗?
最后一次审计信息安全是什么时候?管理执行层跟踪审计结果的执行效果了吗?
有包含所有上述问题的安全方案吗?是否清楚地指定该方案的责任承担人?
有些基本的措施可让最高管理层(董事会)和管理执行层采用,以确保他们在组织实施了有效的信息安全治理。这些措施是:
采用最佳实践
在最高管理层(董事会)层
将信息安全及其持续性落实到业务管理者;
建立审计委员会。该委员会清楚理解其信息安全任务,知道怎样与管理层和审计师合作;
确保内部和外部审计师同意,审计中包括信息安全审计委员会和管理执行层要求的信息安全审计内容;
要求信息安全负责人向审计委员会报告信息安全治理的进展和问题;
建立危机处理机制,该机制要求执行管理层和最高管理层(董事会)最初就开始参与。
在执行管理层
建立安全职责,协助管理者制定政策,并帮助组织实现这些政策;
建立可测量的和易于管理的安全战略。该战略以标杆、成熟度模型、差距分析和持续报告绩效为基础;
由安全和审计专家(内部的和外部的)筹办,进行年度的业务风险头脑风暴法会议,得出风险现状评估结论,产生行动建议,并用持续的行动强化执行效果;
综合运用专家的知识,制订信息安全与风险应急方案;
建立清晰实用的企业和技术持续性方案,不断评估和更新该方案;
根据清楚的程序进行信息安全审计,管理层有责任跟踪审计结论执行情况;
制定清晰的方针政策和详细的指南,多和员工就该计划进行沟通,使每个人认可该计划,这就是善治的安全治理;
经常性的评估监控系统所发现的系统弱点(CERT),评估非法入侵,压力测试和业务持续计划;
使业务流程和支持流程的基础设施能够在故障后恢复,特别是遇到一般的故障时;
建立安全基准线,并严格监控其不被违反;
实施安全事故响应制度,并经常进行入侵测试;
通过高标准的控制来强化所有安全设施、重要的服务器和通讯平台;
基于管理规则授权,授权方式与业务风险管理相配合;
工作绩效评估包含安全绩效评估,并对此采取适当的奖罚措施。
思考并分析关键成功因素
确保:
认识到好的安全方案需要时间发展和完善;
组织安全责任人直接向高层领导报告并负责安全方案的执行;
管理层和员工共同理解安全的重要性、必要性、弱点和威胁,理解并接受他们自己的安全责任;
定期由第三方来评估安全政策和安全的体系结构;
安全负责人有管理安全的方法和能力,特别是在通过采取入侵测试和主动监控措施时,能将发生事故的可能性降至最低,但事故不可避免发生时,对事故侦查、记录、分析严重性、报告和采取行动的能力;
清楚定义风险管理责任人的任务和职责及管理层的责任;
建立定义风险界限和容许的最大风险的政策;
存在定义、协商和资助风险管理改善行动的职责和程序;
每隔一段时期由第三方进行更客观的安全战略审查;
识别并持续监控关键的基础设施;
使用服务水平协议提高认识,增加与安全和持续性需求提供商间的合作;
在制定政策时就考虑和确定政策的强制执行;
适当的测量对政策认识、理解和遵循的程序;
保证好部署前的应用软件的安全;
信息控制策略与公司整体战略规划相一致;
管理层确信和认可信息安全、控制政策,强调沟通、理解和遵循这些政策的必要性;
采用一致的政策制定框架,指导政策的构思、制定、理解和遵循;
意识到虽然熟悉内幕的专业人士是绝大部分安全风险的根源,但有组织犯罪性质的攻击和其他没有专业知识人员的攻击正在增加;
适当关注数据保密性、版权和其它与数字时代有关的法律;
组织高层支持确保员工以合乎道德、安全的方式履行责任的行动;
榜样的力量是无穷的。管理层必须明白信息安全对于组织成功的关键意义,带头遵守有关规章制度,为所有员工树立起安全意识的榜样。
介绍绩效测量标准
通过以下方面确定在信息安全上是否成功:
没有引起公众困惑的事故;
减少因为安全问题延迟新行动计划的数量;
有保持依赖IT的关键业务流程连贯性的计划;
自动监控重要的信息基础设施;
员工在以下方面的进步可以测量:认识有道德的行为的必要性、系统安全原理和以道德的及安全的方式评估业绩;
通过以下方面确定信息安全治理是否成功:
全面遵循最低安全要求,或者记录违背最低安全要求的行为;
制定和确认的与IT有关的规划和政策包含IT安全的任务、远景、目标、价值和行为守则;
IT安全规划和政策传达到所有相关各方。
未完待续
浏览:信息安全治理(一)