青藤云安全:安全流程成熟度的“定级、评审、整改”

2021-06-02 12:09:21 Author: www.secpulse.com 阅读量: 141 收藏


整改:如何提高安全流程成熟度级别


对于成熟度,安全人员最关心的问题是——如何逐渐提高安全流程成熟度。从一个成熟度级别发展到下一个级别并没有那么简单。通常,大多数组织机构至少需要一年的时间才能提高到一个级别。但也并不是所有组织机构都需要达到最高成熟度级别。实际上,对于许多组织机构来说,这可能是完全不现实的——要么是因为不需要采取最严格的安全控制,要么是因为实施成本过高。下面我们介绍五个成熟度级别中每个级别的关键特征,并推荐了提升到下一个生熟度级别所需的改进措施。


从1级到2级

在1级成熟度时,组织机构通常没有正式的安全防御计划,也没有指定的个人承担总体的安全责任。安全活动通常是承担IT职责的人来完成。但由于开展的安全实践活动不充分,企业可能会处于无法接受的风险水平。


安全流程成熟度从1级提升到2级的改进建议:

  • 请高管层同意制定正式的安全防御计划。

  • 任命一名临时的CSO,并赋予CSO制定和开展安全防御计划的权力和预算。

  • 开展并完善成熟度评估。

  • 对组织机构中现有的安全活动进行分类,据此来制定安全计划。


从2级到3级

在2级成熟度时,组织机构会积极主动地管理安全计划,并且尽全力了解自身的安全风险情况,包括安全要求、可用资源以及业务运行环境。这就会促使临时委任的CSO制定人员配备计划,编写策略方案,并评估整个企业内的安全意识状况。但这时尚无正式的信息安全治理或指导委员会。从根本上而言,信息安全仍然是以IT为中心的问题。


安全流程成熟度从2级提升到3级的改进建议:

  • 建立具有跨职能、多学科的治理机制,制定明确的安全章程。

  •  正式任命CSO,组建安全团队并执行安全计划。

  • 完成核心安全流程目录的制定与实施。

  • 建立有效的安全培训计划,对员工行为和企业文化产生影响。


从3级到4级

在3级成熟度时,组织机构已经创建了坚实的安全策略体系,并且还制定了职责划分RACI表,确定了各个安全人员的职责。虽然这时已经制定了安全策略和规则,但是对这些规则的问责制和执行尚处于早期阶段,安全活动仍然主要以IT为中心。安全方面的进步仍然是由高级管理层“自上而下”的关注驱动的,并且企业安全意识仍然有限。


安全流程成熟度从3级提升到4级的改进建议:

  • 了解业务经理和其他相关方的业务决策,寻求他们的指导,将治理体系落实到位。

  • 实施强大的安全策略框架和管理计划。

  • 最终确定并分配责任,明确记录谁负责什么内容,并将职责划分情况报送高管层。

  • 建立符合组织机构年度战略计划的信息安全架构。

  • 解释安全指标并使用这些指标来向高管层介绍相关的风险状况。


从4级到5级

在4级成熟度时,组织机构已经确定了正式的安全职责。但业务部门并没有明确接受剩余风险。组织机构正式建立了跨部门的委员会,支持安全专业人员和业务部门之间加强沟通交流。企业的安全工作正在逐渐放弃以IT为中心的模型,将安全职责转移给CSO。现在,可以通过现有的流程解决所有可以合理预期的风险,并使用安全指标来确保能够实现预期目标。


安全流程成熟度从4级提升到5级的改进建议:

  • 确保业务管理者和其他业务流程负责人对剩余风险承担一定责任。

  • CSO至少每半年向董事会报告一次安全计划进展情况以及与主要业务目标相关的剩余风险。

  • 制定一个持续改进流程,确保对安全流程进行不断优化。

  • 启动变更管理功能,支持对安全计划进行优化调整,对环境、技术和业务变更做出响应。


写在最后

通常,组织机构对安全流程的投资要比其他IT领域的投资落后三到五年,但安全流程成熟度却是决定企业安全计划有效性、效率的关键因素。对此,安全负责人可以根据上文中列出的评估标准和改进建议,来完善流程成熟度有差距的地方。


在安全负责人进行总结汇报、进行年度规划时,从安全流程成熟度的角度出发,不仅可以让高管层更清晰地了解企业自身的安全风险水平,还能够向高管层就如何改善安全流程提出有效建议,展现安全计划的价值所在!




觉得文章还不错?,点我收藏



本站内容均来自网络,若有侵权,请与我们联系:buaq.net[#]pm.me