最近能力成熟度被大众关注越来越多,随波逐流一下,把曾经的自己不靠谱拍脑门半成品拿出来,纯个人经验,还有很多考虑不周的地方,不喜勿喷,拒绝评价,欢迎探讨。
和CMM一样分5级,名字被我自定义为:1-5级为:初级、认知、改进、成熟、卓越。IT安全能力从组织、管理、技术3个维度进行评价。总图如下:
组织维度
一级:初级阶段:1、组织认识到需要IT安全,但普遍缺乏安全意识,重视程度也不够,需要IT安全的意识主要依赖于个体。2、没有明确定义安全职能的部门和岗位,由于责任不清,出现IT安全问题时会导致相关部门或人员互相推诿。
二级:认知阶段:1、组织认识到IT安全的必要性,存在安全意识并意识到自身存在的IT安全风险,由管理层进行促进。2、IT安全的责任和义务被分配给了管理层和IT安全协调员,尽管安全协调员的管理权是有限的。
三级:改进阶段:1、组织充分认识到IT安全重要性,逐步加强安全意识并由高层进行促进。2、IT安全的责任和义务被分配给了高层、管理层和IT安全专员。各职能责任被明确分配、管理和执行。
四级:成熟阶段:1、组织完全理解IT安全的战略意义,不断提高安全意识并由高层进行监督。2、IT安全的责任和义务被分配给了高层、管理层和IT安全专员。各职能责任被明确分配和理解、管理并执行和强制考核。
五级:卓越阶段:1、组织完全理解IT安全的战略意义,不断提高安全意识并由高层进行考核。2、IT安全的责任和义务被分配给了高层、管理层和IT安全专员。各职能责任被明确分配和理解、管理并一贯执行和客观的考核。
管理维度
一级:初级阶段:1、制订了局部的、单一的信息安全管理制度、标准规范,但缺少整体的安全策略。2、由于不明确的安全责任,工作中缺少必要的安全流程。
二级:认知阶段:1、制订了整体的安全政策,但体系不够科学,管理制度、标准规范缺乏可执行性。2、IT安全主要被看作是IT部门的责任和事情,业务部门认为与其无关,安全管理流程仅限于IT部门内部。
三级:改进阶段:1、明确的IT安全策略,充分定义了符合的整体安全管理制度。开始进行全面信息安全架构设计,有计划的建设信息安全保障体系。2、IT安全是全局的,安全流程的执行是强制性的,流程中的各环节是标准化、规范化的。
四级:成熟阶段:1、IT安全策略、管理制度的架构和体系被不断完善,并略高于行业监管或合规要求。2、IT安全是全局的自上而下的,安全流程是弹性的,适用不同需求场景的,执行效果是可测量的。
五级:卓越阶段:1、IT安全策略、管理制度的架构和体系是可持续的,并明显高于行业监管或合规要求。2、IT安全是全局的自上而下的,安全流程是弹性改进的,执行效果是可测量、可评价、可考核的。
技术维度
一级:初级阶段:1、IT安全还是被动处理,缺少技术手段、工具作为支撑,发生安全问题往往由于缺少措施而无法处置或追查。2、对IT安全破坏的响应和后果是不可预测的。
二级:认知阶段:1、具备并掌握了基础的安全技术方法和工具,通过安全风险评估,能够发现若干安全问题,开始采取一些措施提升IT安全水平。2、对IT安全破坏的响应和后果可以进行一定的预测,并制定必要的防范措施。日常IT安全报告是不完整的、误导的或者不相关的。
三级:改进阶段:1、采取必要的IT安全计划和安全解决方案,能够实施定期的安全评估检验安全效果,应对常见的安全风险。2、对IT安全破坏的响应和后果是充分预测的,并制定完备的防范措施。日常IT安全报告是标准规范的。
四级:成熟阶段:1、拥有较为全面的前瞻性、松耦合的技术方法、工具和解决方案,可自动化的应对安全风险的变化,并不断提升安全控制能力。2、对IT安全破坏的响应和后果是充分预测的,并制定有效的防范措施。日常IT安全报告是准确、可信的。
五级:卓越阶段:1、拥有科学的、全面的前瞻性、松耦合的安全技术方法、工具和解决方案,可智能的应对安全风险的变化和未知风险,并通过可持续的自学习,不断提升安全控制能力。2、对IT安全破坏的响应和后果是可预测的、客观的,并制定可信的防范措施。日常IT安全报告是持续关联的。
坚信少却更好,坚定元认知传播,坚持安全美学,拿个主题,讲300秒就够了。
原文始发于微信公众号(表图):成熟度参考:IT安全能力成熟度评价标准
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论