信息安全治理（五）——創(chuàng)造新的戰(zhàn)略競爭機遇

說明

0

沒有級別

l 沒有評價流程和商業(yè)決策的風險；組織沒有考慮與安全隱患和項目開發(fā)不確定性對業(yè)務的影響；沒有認識到風險管理關系到IT解決方案的獲得和IT服務的傳送；

l 組織沒有認識到IT安全的必要性；沒有確定保證安全的責任和義務；沒有實行支持IT安全管理的措施；沒有對IT安全問題的IT安全報告和響應程序；完全沒有管理系統(tǒng)安全的流程；

l 不理解IT運作的風險、弱點和威脅，不理解沒有IT服務對業(yè)務的影響；不認為服務的連貫性是管理層關心的問題。

1

初始的/混亂的

l 組織以一種混亂的方式考慮IT風險，沒有遵循定義的流程和政策；每個項目都是采取非正式的項目風險評估；

l 組織認識到IT安全的必要性，但是安全意識依靠個人；被動考慮IT安全，沒有評測IT安全；因為職責不清，發(fā)現(xiàn)IT安全問題只引起局部反應；無法預知對IT安全問題的反應；

l 持續(xù)提供服務的職責不是正式的，且只有限的授權；管理層知道有關風險和持續(xù)服務的必要性。

2

可重復的但是根據(jù)直覺

l 開始認識到IT風險的重要性和必要性；有某種風險評估方法，但這個過程雖然仍舊不成熟，但在完善中；

l IT安全職責被賦予一個了解IT安全，但沒管理權的人；不完整的和有限的安全意識；形成但沒分析IT安全信息；沒有確定組織特定的IT安全需求，只是被動對IT安全事故做出反應，請第三方處理這些事故；開始制定安全政策，但沒有足夠的技巧和工具；IT安全報告不完整，易于使人誤解，或不能切中要害；

l 分配了持續(xù)服務的職責，但提供的服務不完整；系統(tǒng)可用性報告不完全，沒有考慮其對業(yè)務的影響。

3

已定義的流程

l 組織范圍內(nèi)的風險管理政策定義了怎樣進行風險評估；風險評估遵循一個已定義的流程；該流程已形成規(guī)范，適用于所有接受過相應培訓的員工；

l 安全意識存在并得到管理層的促進；安全簡報已標準化和正式化；定義IT安全程序并使其適合安全政策和程序結(jié)構(gòu)；確定IT安全職責但沒有始終如一地得到執(zhí)行；存在驅(qū)動風險分析和安全解決方案地IT安全規(guī)劃；IT安全報告面向IT而不是面向管理；執(zhí)行了初步的入侵測試。

l 管理層不斷交流持續(xù)服務的必要性；局部采用了高可靠設備和冗余系統(tǒng)；嚴格維護重要的系統(tǒng)和設備清單。

4

已管理的和可測量的

l 根據(jù)標準程序評估風險，不遵守此程序的將被IT管理者通報；IT風險管理可能成為具有很高責任的管理職能；管理執(zhí)行層和IT管理者已確定組織容忍的最大的風險級別，并已有測量風險/收益比的測量標準；

l 清晰賦予、管理和執(zhí)行IT安全職責；持續(xù)分析IT安全風險和影響；完整的基于特定安全基準線的安全政策和實踐；標準化的用戶識別、驗證和授權；建立員工安全認證考試制度；入侵測試是標準的和正式的改進程序；越來越多利用成本/收益分析，支持安全評測；IT安全流程與組織總體的安全職能保持一致；IT安全報告與管理目標相聯(lián)系；

l 強制執(zhí)行持續(xù)服務的職責和標準；始終使用冗余系統(tǒng)，包括使用高可靠設備。

5

優(yōu)化級

l 開始有規(guī)律地、有效地執(zhí)行一個結(jié)構(gòu)化的、組織范圍內(nèi)的風險評估流程；

l IT安全是業(yè)務管理者和IT管理者的共同責任，它被統(tǒng)一到公司安全管理目標中；IT安全需求被清晰定義，優(yōu)化并包括于經(jīng)核實的安全計劃中；安全職責在應用軟件的設計階段就被考慮，終端用戶負有更多的管理安全的責任；IT安全報告提供變化和出現(xiàn)的風險的早期警告；自動監(jiān)控關鍵的系統(tǒng)；利用由自動化的工具支持的正式的事故響應程序快速處理事故；定期的安全評估，以評價安全計劃執(zhí)行效果；系統(tǒng)地收集和分析新的威脅和隱患信息，及時通知并實施恰當?shù)匮a救措施；入侵測試、安全事故的深層原因分析和預先發(fā)現(xiàn)風險是持續(xù)改進的基礎；在組織范圍內(nèi)集成的安全程序和技術；

l 持續(xù)服務計劃和業(yè)務持續(xù)性計劃被集成，調(diào)整，并得到日常的維護；購買的持續(xù)服務必須得到廠商和主要提供商的安全保證。

瀏覽：信息安全治理（一）

信息安全治理（二）

信息安全治理（三）

信息安全治理（四）

信息安全治理（六）