青骥信息安全原创技术专题
当我们学习ISO/SAE 21434标准的时候,会看到网络安全治理(Cybersecurity government)和网络安全管理(Cybersecurity management)两个概念。然而该标准中并没有给出安全治理和安全管理的十分清晰的定义和描述。即使在安全社区内,似乎也是讲安全管理的多,讲安全治理的少。那到底两个概念是什么?两者的区别和联系又是什么呢?笔者通过调研发现安全治理、安全管理和安全运营具有非常不同的功能,而又紧密联系。本文尝试先对安全治理给出一些论述,希望能为网络安全从业人员有些帮助。
注:后续笔者会继续通过公众号对ISO/SAE 21434第五章节涉及的其他概念和实践进行详述
ISO/SAE 21434 中5.4.1章节是对网络安全治理的要求进行了简要描述,本文试图对安全治理给出给详细的论述。
先看看几个权威机构关于信息安全治理(Information security governance)的定义
|
|
The process of establishing and maintaining a framework and supporting management structure and processes to provide assurance that information security strategies are aligned with and support business objectives, are consistent with applicable laws and regulations through adherence to policies and internal controls, and provide assignment of responsibility, all in an effort to manage risk.
信息安全治理可以定义为建立和维护框架、支撑性的管理结构和流程的过程。该过程通过遵守政策和内部控制来保证信息安全战略与业务目标对齐并支撑业务目标;该过程与适用的法律法规保持一致 ,并提供责任分配,所有这些都是为了管理风险。
|
|
|
defines information security governance as “the system by which an organization’s information security-related activities are directed and controlled.”
信息安全治理定义为“指导和控制组织的信息安全相关活动的系统”。
|
|
|
Information security governance (ISG) can be defined as “the processes that ensure that reasonable and appropriate actions are taken to protect the organization’s information resources, in the most effective and efficient manner, in pursuit of its business goals” (see “Introducing the Gartner Information Security Governance Model”).信息安全治理(ISG)可以定义为“确保采取合理和适当的行动,以最有效和高效的方式保护组织的信息资源,以追求其业务目标的过程
|
从这几个官方定义看,依然难以给人直观的感受,尤其是对没有接触到安全治理活动中的人来说更是如此,笔者根据个人的理解,将信息安全治理给一个非形式化的定义:
网络安全治理是对组织内所有安全相关活动的最高政策制定、裁决和监管的组织形式。通常由公司高级管理者组成的安全治理委员会负责实施。
注:从治理框架来看,网络安全治理和信息安全治理没有本质区别,本文不区分网络安全治理和信息安全治理两个概念,统一使用信息安全治理。
2. 安全治理关键原则
1. 安全治理过程是决策和监督的过程,而不是“执行”过程。
2. 安全治理最重要的是实现业务目标,而不是IT目标. 安全治理要确保定义业务的战略需求,并通过安全计划的实施以满足这些需求。高级管理层应确保信息安全服务于整体业务目标,并在整个组织中确立责任和问责制
3. 确保安全治理本身与安全管理和安全运营职责分离,且避免冲突。
4. 为所有利益相关方培育一个良好的安全环境。安全治理应该响应涉众的期望,记住不同的涉众可以有不同的价值和需求.安全治理团体应带头推广积极的信息安全文化,包括要求和支持安全教育、培训和意识项目。
5. 评估与业务结果相关的绩效。从治理的角度来看,安全绩效不仅包括有效性和效率,还包括对整体业务目标的影响。治理执行者应该强制对安全绩效的度量程序进行审查,监视、审计和要求改进。
从长远来看,坚持这些原则对信息安全的成功至关重要。
3. 安全治理的方法论(模型)
3.1 计划
-
给定时间范围内的安全规划准备达成的状态或目标,比如达到某一安全成熟度级别
-
当前状态的评估,包括脆弱性和风险评估、合规审计和成熟度评估
-
当前状态和目标状态之间的差距分析
-
一组从差距分析中得出的项目列表和活动计划
-
根据风险消减、资源和技能要求、成本以及价值产生的时间等标准给出的项目优先级
-
报告框架,该报告能度量安全对业务目标达成的贡献度
-
战略规划应每年更新一次,以及每个季度对进展进行审核。
安全架构是支撑战略规划的基础模型、模板和原则的规则。这些安全架构要素用以开发符合业务要求的安全技术和流程解决方案,同时最大限度的标准化和可复用。
-
所属关系
-
文档标准
-
批准流程
-
执法制度
-
评审和例外流程
3.2 实施
对管理和监督治理的过程进行设计,每个过程需要包括:
-
过程目标
-
执行的步骤以及顺序
-
过程中的每个步骤对应的职责
-
每个步骤的输入/输出
-
建立组织内信息安全职责与问责制
-
协调和仲裁冲突
-
对管理和监督流程进行指导
-
授权和赞助公司信息安全计划
治理机构的成员应代表组织的主要信息所有者和企业单位领导人,因此他不应该由IT或信息安全人员主导
政策管理过程,资源和财政策略的执行,也就是信息安全章程(charter)和公共的基线政策的制定。
3.3 管理
确保治理机构规定的、记录在章程和基本政策中并由组织执行官授权的信息安全各自的职责和问责得到有效执行。
根据安全预算的决定,管理用于安全计划的财务资源的有效分配和问责。
促进对不同信息所有者和利益相关者之间相互冲突的安全要求的讨论和评估。确保具体的政策和决策基于对个人和集体风险管理要求的充分考虑。
跟踪安全计划和项目里程碑、可交付成果和成本,以确保它们保持在可接受的偏差范围内。以及决定对异常和超标的处理行动
3.4 监督
与计划目标相比,评估项目结果。报告实现的和未达成目标,以及意外的结果和后果。提出改进未来项目绩效的建议
4. 安全治理组织如何创建
1. 建立安全治理委员会关注业务结果,该委员会不能陷入操作问题,而是给出方向和监督。
2. 在安全治理中,首席信息安全官(CISO)的角色是与高级主管、业务部门经理、IT组织和其他人员密切合作,以建立有效的治理框架和有效的风险评估;支持通过charter将权力下放给安全部门;支持建立符合所有相关法规和标准的可度量的安全控制
3. 安全治理委员会中的代表应包括业务线、审计、风险、IT 和公司安全(例如欺诈、保护性安全和危机管理)的中高层管理人员。
5. 安全治理最佳实践
1. 安全治理方法:为建立、维护和监督信息安全治理框架提供指导,该框架使组织的治理主体能够为信息安全和风险管理设定明确的方向,并展示他们的承诺
2. 安全治理组件:通过创建信息安全战略和实现与组织战略目标一致的信息安全保障计划,为支持信息安全治理框架提供指导。
说明:本公众号为青骥信息安全小组所有,不隶属于任何商业机构,部分信息为网络收集,版权归原作者所有,文中观点仅供分享交流,不代表本公众号立场。如涉及版权等问题,请您联系[email protected]告知,以便及时处理,谢谢!
原文始发于微信公众号(汽车信息安全):谈谈信息安全治理模型
