1、信息安全治理是董事会和高级管理层的责任。
三个不同角色的职责和权利:
高级管理层:审批安全战略。
安全指导委员会或管理层:检查安全战略。
安全经理:定义、制定安全战略,同时负责安全政策的实施。
2、治理和管理的区别
治理是董事会的责任;管理是CEO领导下的高级管理层的责任。
3、可接受的风险水平取决于高级管理层的风险偏好水平。
风险偏好与风险容忍度挂钩。
风险偏好是管理层认为可接受的风险水平,风险容忍度是与可接受的风险水平发生偏差的可接受水平。
容忍度越低,风险偏好越低。
风险容忍度高可解决风险评估流程自身的不确定性问题。
将风险降低到可接受的水平,而不是最低水平。需要考虑成本,看性价比。
当残余风险无法满足可接受水平时,不一定要选择接受风险,更多可转移风险。
当残余风险超过组织可接受风险但在管理层可容忍范围内时,能缓解风险的缓解,或者是转移风险(比如买保险,但是保险不是万能的)。
剩余风险=固有风险-采取措施造成的积极影响
4、战略、政策、标准和准则
战略:表述信息安全计划的目标以及达成目标的计划。
政策:强制性,是战略的细化、说明,用于组织中确定方向,指导行动。政策必须反映管理层的意图、期望和指导方向。
标准:是强制性,是基准指标,必须随着要求和技术的变更而变更。
标准设定了允许的程序范围,以确保程序符合政策意图。
准则:建议,可选行动,非必要的,必须包含有助于执行程序的信息。
程序:程序必须是清晰的,并且包含用于完成特定任务的所有必要步骤。程序还必须包含发生意外结果时需要采取的步骤。
战略和政策一般长期不变。
5、治理框架的最大优点是提高效率、成本效益高,框架是其他大公司总结出来的经验。
安全架构融入企业架构。
6、新的信息安全项目应该支持信息安全战略。
7、业务案例
业务案例为组织提供了判断是否应将项目继续下去所需要的信息。必不可少的考虑因素是推动项目前进的价值主张或成本效益分析。
开发业务案例是获得高级管理层承诺的一种关键工具。它可为组织提供判断是否应该继续执行项目所需的信息。
业务案例可用来证明IT和信息安全举措在组织中的价值,并具体论证成本的合理性。
如何说服高级管理层启动某项目或任务是否合理:利用业务案例。
风险分析是业务案例的一部分;投入多少钱,产出多少钱都是业务案例的一部分;
只有老板支持才有钱、有人力。
8、价值交付:性价比高,投入产出比高;与组织目标相一致。
价值实现是安全战略与业务目标保持战略一致性的结果。
9、合规本身也是一种风险,投入产出比不高时,可以不合规。
10、衡量一个企业安全文化是否到位的是:最终用户在某段时间内举报安全事件的频率。
11、年预期损失(ALE)、单次预期损失(SLE)
SLE=AV(资产价值)*EF
ALE=SLE*ARO(年度发生率)
例:保险费+ALE+杂费=总费用(TCO)
若保险费为9万元,出事后保险公司就理赔1万,不划算,那就接受风险
12、KGI、KPI、KRI和CSF
KGI:关键目标指标,组织所追求的明确目标
KPI:关键绩效指标,判断流程的执行情况,分阶段和过程性的。
KRI:关键风险指标,①它要能预测风险事件②它要能反应与基准指标相比的偏差③要与建立基准指标的方法和目标相一致。
CSF,关键成功因素,实现高级别目标必须完成的目标和行动。
13、(信息安全机制)有效绩效衡量指标:
检测和报告安全相关事件所花费的时间越多越好。
后来发现未报告事件的数量和频率越少越好。
14、数据所有者承担数据泄露风险。
数据所有者对数据资产分类,制定信息分类政策,为信息资产分配重要性和敏感性,决定其访问控制级别。
数据分类方案由资产的业务价值及信息对业务的潜在影响决定,而非其资产本身的价值。
IT职能部门是数据所有者的保管员。
数据保管员负责确保数据受保护和数据的完整性。
15、平衡积分卡
平衡计分卡能够有效让信息安全目标与业务目标达成一致。
能力成熟度模型(CMMI)更关注流程,反映流程绩效和能力。(三级:已定义)
风险评估与分析模型:不能解决一致性问题,客观描述风险。
16、分布式组织
优势:安全管理自由度高
劣势:管理不便
17、人的性命高于一切。
18、 业务记录内容至少保存12个月。电子邮件的存档有一年或三年。
网友评论