為了優化安全管理的流程和加強對流程的控制,需要設置關鍵成功因素和關鍵績效指標。
1.角色的定義和職能
安全管理需要設置安全管理的組織架構,以確保流程的有效運作。
2.觸發信息安全管理活動的事件
為了維護企業的信息安全狀況在一個可接受的范圍內,應考慮在外部環境或內部資產發生變化時,觸發安全活動,采取相應控制措施。觸發安全管理活動的事件
包括以下內容:
· 新或變更的業務安全策略
· 新或變更的風險管理流程和指南
· 新或變更的服務要求或服務
· 新或變更的協議,比如:SLRs,SLAs,OLAs或合同
· 回顧或修訂IT服務策略或計劃
· 安全違背和安全事件
3.安全管理KPI
安全管理的KPI指標能夠評估過程和活動運行的效率和效益,主要包括以下
· 安全事件影響到業務正常運行
衡量該指標的內容主要包括:服務臺中安全事件的數量不斷降低、安全事件導致的業務影響數量不斷降低、SLA中符合安全策略的數量逐步增加。
· 非授權訪問數量不斷降低
· 定期統計的不符合信息安全策略的數量逐步減少
· 安全措施的改進
衡量該指標的內容主要包括:對改進安全流程和控制的數量保持增加;審計和安全測試中發現的不符合安全策略的數量不斷降低;
· 人員的安全意識教育
通過安全意識的教育和培訓使組織全員安全意識不斷增強。
· 所有IT資產進行識別和分類的占比數量不斷提高
4.PDCA方式對流程的作用和改進
(1)控制
· 在組織中建立管理信息安全的組織框架
信息安全的范圍通常會涉及企業的不同層面,通常需要全員參與。因此需要在企業內部建立起有效的信息安全組織框架,為信息安全管理提供組織保障,以有效
管理、監督和落實信息安全各項工作的開展。信息安全管理組織通常分為決策監督、管理審計和貫徹執行三個層面,層層推進,逐層監督。
· 建立信息安全策略的組織架構,負責開發、批準和實施信息安全策略
安全策略不應僅由IT人員來開發,而應當由今后將受該策略影響的整個組織中的各個部門人員共同努力開發出來。在創建安全策略時,還應當有客戶和人力資源、法律、物業人員共同參與。比如:當安全策略涉及員工獎懲時,人力資源將負責安全策略的強制執行。涉及第三方的商務合同通常由法律部門制定統一的文件格式并定期修訂。客戶通過SLAs協議,對服務提供者提出數據保護、訪問控制、系統可用性、備份與恢復等方面的要求。
· 信息安全管理角色和職責被定義,且委派給合適的人員。
組織通常依據其規模進行安全管理團隊人員的配備,從幾人到數十人不等。通常信息安全的角色包括信息安全主管、信息安全專家、信息安全管理員、信息安全
聯絡員。
· 建立和控制文檔
對信息安全管理體系記錄的填寫、編號、收集、歸檔、借閱、保管、銷毀等活
動實施管理和控制。
(2)計劃
企業管理人員經常詢問這樣的問題:“我們受保護的程度到底如何,我們應該做什么才能改進我們的安全計劃?”不管建立信息安全計劃的動機是什么,你都應該遵循一套組織嚴密的方法論來指導安全計劃。安全計劃的開發分為三個階段:安
全需求分析、現狀分析及未來架構、確定信息安全路線圖。
· 信息安全需求:來源于業務需求和服務風險、計劃和策略、SLAs 、OLAs、
法律、道德等與安全相關的方面。此外,還應該考慮可供利用的資金、組織
主流文化對安全的態度等因素。信息安全策略表明了組織在安全方面的觀點
和態度,應該在組織的更大范圍內實施,而不僅僅是針對IT服務的提供者。
安全策略的修訂和更新由安全管理者負責。
· 現狀分析和未來架構:評估現狀時候,其目標是熟悉目前的環境、了解目前
存在的問題或信息安全中的薄弱環節,并規劃未來的安全架構。
· 確定信息安全線路:利用現有安全現狀與未來理想狀況之間的差距分析結
果,考慮時間、成本和優先級的因素,確定信息安全實現的路線圖。
(3)執行
信息安全管理體系的執行目標是通過程序、工具和控制措施,確保信息安全策略的有效執行。實施范圍主要包括以下內容——
· 資產責任人:在配置管理庫中進行信息資產責任人登記
· 信息分類:按照信息的敏感程度和影響范圍進行信息的分類
所有的信息資產都應該在配置管理庫中進行登記,在登記的信息中需要考慮安全方面的因素,比如信息資產的分類、CIA屬性、資產關聯關系等安全相關內容,
當信息資產發生變化的時候,應對其實施過程進行記錄,相應的責任人應該按照安全策略的要求采取適當的行動。成功執行信息安全控制和度量需要依賴以下因素:
· 安全策略的清晰定義和執行,符合業務需求
· 信息安全流程被證實是有效且適當的,獲得了管理者的支持
· 安全意識培訓符合安全的實際需求
· 安全技術不斷完善
(4)檢査
可以根據企業的自身需要,組織并實施安全評估活動,主要包括以下內容:
· 對SLAs和oLAs中的安全需求和安全策略的符合性進行評估
· 定期對IT系統技術安全設施實施審計
· 定期進行各類審計活動
(5)行動
在改進環節中主要需要考慮以下內容:
· 測量信息安全計劃的實施情況
· 定義安全監控和數據采集的需求
· 監控、驗證和跟蹤安全級別是否符合組織的安全策略和實施細則的要求
· 通過采集CIA監控數據分析安全控制的實施效果
· 改進安全服務協議,比如SLAs、OLAs中的相關條款
· 改進安全測量和控制的執行
· 驗證風險減緩策略
· 安全違背趨勢分析
· 安全事件的處理和決策分析
· 利用報表分析
滬公網安備 31010502000282號