当前位置: 首页 > news >正文

安全问答—评估和应用安全治理原则相关

news 来源:原创 2025/5/19 6:56:50

前言

安全职能需依业务战略等调整,通过有效安全管理计划及组织流程等保障,参考安全控制框架并秉持应尽关心态度,各角色明确责任协同保障安全,同时关注收购等特殊业务场景安全风险及应对措施。

根据业务战略、目标、任务和目的调整安全职能

安全是否可衡量

安全一定是要可衡量的,可衡量就意味着,安全机制必须在各个方面都发挥作用,提供明显的收益,并且要有一个或者多个记录和分析的指标。

安全指标应显示出意外时间数量的减少或尝试检测时间数量的增加。

并且安全指标的跟踪和评估是有效安全治理的一部分。

最有效处理安全管理计划的方法是什么

自上而下方法,上层、高级或管理部门负责启动和定义组织的策略。

中层管理人员负责将安全策略落实到标准、基线、指导方针和程序。

操作管理人员或安全专业人员必须实现安全管理文档中规定的配置。

最终用户必须遵守组织的所有安全策略。

安全管理计划的内容包含哪些

  • 定义安全角色
  • 规定如何管理安全
  • 由谁负责安全
  • 如何校验安全的有效性
  • 制定安全策略
  • 执行风险分析
  • 对员工进行安全教育

这些解释都是比较宽泛了的,要根据实际的场景进行扩展和发散。否则还是太粗糙了,只能当做参考。

安全管理计划的分类有哪些

安全管理计划应该分为:

  • 战略计划
  • 战术计划
  • 操作计划

战略计划一般是5年,且和组织的目标、使命和宗旨一致。
战术计划一般是1年左右,包括安排实现组织目标所需的任务。
操作计划就是在短时间内有效或者使用的内容,就包括详细的安全落地计划。

三位一体组成最终的安全计划

组织流程

组织流程中,应该关注的点是哪些

  • 收购
  • 资产剥离
  • 治理委员会的组织流程

在收购以及兼并会带来哪些风险

  • 信息泄露
  • 数据丢失
  • 停机
  • 未能获得足够的投资回报率(return on investment,ROI)

除此之外,还需要安全监督以及加强审查也是非常重要的一环。

资产剥离,如资产减少,或者员工裁员会增加哪些风险

  • 数据泄露
  • 是否删除和销毁了存储介质
  • 是否存在数据残留
  • 工作是否已经完成
  • 是否签订保密协议
  • 合同中止等

其实按照国内这种职责划分明确的内容而言,针对安全,这些只能说是了解,安全大多数的时候只有建议权,或者是数据清理的规定等,不会设计到人员的更多问题。

针对收购,合并,第三方供应链安全需要做哪些

其实近些年一直老生常谈的第三方供应链的问题,如开源的,免费的,商用的,或多或少都会遇到安全风险问题,而且这方面的可控性普遍没有那么高,所以就需要依赖一些措施

  • 持续的安全监控,管理和评估
  • 外部的第三方审查
  • 安全资质,证书
  • SLA
  • 设立的最低限度的安全要求

这里也衍生出了作为供应商而言,需要满足的一些安全问题,当大家的功能都差不多的时候,稳定性以及安全就会成为竞争的瓶颈。
所以这也是安全人员的工作和职能之一,当然也是一个方向,比如企业安全建设。

组织角色和责任

组织中的安全角色和责任有哪些

高管:责任人,审核权,应尽关心和尽职审查,关注大方向,所有决策都必须由高管定夺
- 应尽关心:制订计划、策略和流程以保护组织的利益。
- 对目标对象进行全面、深入的调查和评估。
安全专业人员:落地实施安全方针人员
资产所有者:最终对资产保护负责
托管员托管员:执行和测试备份、验证数据完整性、部署安全解决方案以及基于分类管理数据存储,更贴合于IT的职能,当然边界并不是很明显
审计人员审计人员:负责审查和验证安全策略是否被正确执行,以及相关的安全解决方案是否完备。一般情况下,公司不是很大,就会由安全人员来进行承担,但是出现的问题就是安全人员的活动缺少了审计的内容。

安全控制框架

COBIT框架相关知识点

COBIT是由信息系统审计和控制协会(ISACA)编制的一套记录IT的最佳安全实践。它规定了安全控制的目标和需求,并鼓励将IT安全思路映射到业务目标。
它将 IT管理过程分为规划与组织、获取与实施、交付与支持以及监控等四大领域,每个领域又细分为多个详细的过程。

六个关键原则:
原则1:为利益相关方创造价值
原则2:采用整体分析法
原则3:动态地治理系统
原则4:把治理从管理中分离出来
原则5:根据企业需求量身定制
原则6:采用端到端的治理系统

COBIT框架的主要目的是帮助企业通过有效的 IT治理,确保企业 IT战略与业务战略保持一致,提高 IT资源的利用效率,控制 IT风险,从而实现企业业务目标。

ISO 国际标准组织

ISO是一个全球性的非政府组织,是国际标准化领域中一个十分重要的组织。
和安全相关的就是ISO/IEC 27000 系列,国际标准,可作为实施组织信息安全及相关管理实践的基础。
很多厂商都会有一个认证就是ISO 的27001,以及一些其他的补充证书,这个相当于是基础证书,拿证是很简单的,但是要完全落地,还是需要一定量的投入和建设才可以。

NSIT 国家标准与技术协会

NIST SP 800-53 信息系统和组织的安全和隐私控制

应尽关心

应尽关心的主要内容包括哪些

  • 安全策略
  • 标准
  • 基线
  • 指南
  • 程序

应尽关心应该是一个正式的安全框架。

相关文章:

  • Deepseek官方整理的13类提示词推荐
  • id生成系统和mp条件简化
  • 《模式和状态管理》知识总结
  • 百度搜索全面接入DeepSeek-R1满血版:AI与搜索的全新融合
  • 深入解析 Flutter Widget 树与布局:从电商首页到性能优化
  • 23种设计模式 - 建造者模式
  • Pytorch实现之SCGAN实现人脸修复
  • 【JavaScript】《JavaScript高级程序设计 (第4版) 》笔记-Chapter16-DOM2 和 DOM3
  • 数据在内存中的存储
  • 2025年02月17日Github流行趋势
  • JavaScript数组-创建数组
  • 投资组合风险管理
  • JDK 24:Java 24 中的新功能
  • 使用Java爬虫获取1688自定义API操作接口
  • Flutter 网络请求与数据处理:从基础到单例封装
  • 【吾爱出品】[Windows] 透明浏览器V1
  • 【Elasticsearch】监控与管理:集群安全管理
  • Rabbitmq的三个端口区分
  • 如何利用国内镜像从huggingface上下载项目
  • 实现可拖拽的 Ant Design Modal 并保持下层 HTML 可操作性
  • 玉林一河段出现十年最大洪水,一村民被冲走遇难
  • 15年全程免费,内蒙古准格尔旗实现幼儿园到高中0学费
  • 杨建全已任天津市委副秘书长、市委市政府信访办主任
  • 世界数字教育大会发布“数字教育研究全球十大热点”
  • 俄乌直接谈判结束,乌称“毫无成果”
  • 土耳其、美国、乌克兰三边会议开始