一、体系是什么?经常见到这个词,看上去比较虚,但实际有它的含义
首先,体系强调整体性,目标必须清晰明确
以及为什么要做这件事情,信息安全的目标。
1、保持业务持续与稳定,检测业务欺诈。
业务持续与稳定包含最基础的系统可用性和业务连续性,可用性关注系统的性能指标、运行状态、负载容量等健康状态;连续性关注在异常或灾难情况下,是否能够保证丢失数据最少(RPO),系统是否能在指定时间内恢复运行(RTO)。
2、保证数据安全、可控,防止敏感信息泄露。包含被动泄密、主动泄密、系统漏洞造成的信息泄露。即内部人员无保密意识,将敏感信息无控制的进行扩散;以及存在内鬼在偷取敏感信息,大多数是利用控制措施的缺失,或绕过安全控制实现的;还有通系统存在某方面(如非授权访问)的漏洞,导致敏感信息被窃取。
3、抵御安全威胁与攻击。周期性开展一些安全、渗透测试,并及时修复;出现一些安全事件,怎样及时响应。
其次,强调模块化,模块之间相互作用
把目标按照逻辑进行划分,形成支撑目标的模块。前后相辅而成、相互作用。比如说体系一二三四级文件,一级是管理指导政策和总纲,二级是各大安全类别的控制目标、控制程序,管理规范(What to do),三级是需要落实的管理办法(Who to do),四级是操作手册、管理记录与表单(How to do)。
最后,动态演变,机制里有自我改进的措施
持续性改进里包含对体系的适宜性、充分性、有效性(能不能达到目的)进行测量。包含绩效评价和持续改进。
体系都不是一蹴而就的,需要不断的努力与积累,进行运行-改进,才能逐渐发挥出效果,得到一个良性循环,最终能够有一个好的投入产出比。
信息安全体系总体建设框架
信息安全管理体系的建立遵照PDCA的过程,包括建立、实施、监督和改进等过程。
二、那什么又是适宜性、充分性、有效性
适宜性。体系是否符合企业的业务运行情况,有不符之处应该及时修正。
充分性。体系是否全面。关键环节要加强控制,不关键的环节尽量少投入一些资源与精力。
有效性。对企业来说,体系是否达到目标,是否给企业经营带来相应的贡献。
三、有效性如何测量
有效性测量的意义。对管理目标的量化考量、持续改进的依据、安全工作的绩效考核、是否满足体系的要求。
Plan阶段的有效性测量设计。收集有效性测量的需求,为有效性测量提供输入,进行有效性测量指标体系设计的基础。
1、信息安全管理目标确立,有效反映组织的业务目标。
2、利害相关方关注收集,监管、上层、客户的关注点。
3、安全事件的总结,体现出组织信息安全的薄弱环节。
4、风险评估归纳,体现组织改进的方向。
Do阶段的有效性测量规划。需要对有效性测量体系进行详细的设计,主要是解决测量什么、如何测量、测量结果如何展示的问题。
1、 分析有效性测量需求,对Plan阶段的各类有效性测量的输入进行归纳整理,加入重要的相关指标。
2、对Plan阶段的有效性测量目标分解,对应到各项控制点细化指标。
3、采集方案设计,测量频率、谁来测量、如何测量。
4、按照第三步要求客观记录。
Check阶段,
1、有效性测量的结果对管理体系进行评价。检查各层次指标是否满足目标要求,并对整体状况进行评估,得出管理体系好的方面以及需要改进的方面。
2、对有效性测量进行评价。根据测量、分析结果,评价有效性测量体系的贡献,并从中找到需要改进的区域,调整测量指标体系。
Act阶段,对Check阶段发现的不足进行改进,更好的实现管理体系目标。
网友评论