成熟度参考:IT安全能力成熟度评价标准

admin 2022年4月19日22:53:49安全闲碎评论11 views1743字阅读5分48秒阅读模式

最近能力成熟度被大众关注越来越多,随波逐流一下,把曾经的自己不靠谱拍脑门半成品拿出来,纯个人经验,还有很多考虑不周的地方,不喜勿喷,拒绝评价,欢迎探讨。


和CMM一样分5级,名字被我自定义为:1-5级为:初级、认知、改进、成熟、卓越。IT安全能力从组织、管理、技术3个维度进行评价。总图如下:


成熟度参考:IT安全能力成熟度评价标准

组织维度

一级:初级阶段:1、组织认识到需要IT安全,但普遍缺乏安全意识,重视程度也不够,需要IT安全的意识主要依赖于个体。2、没有明确定义安全职能的部门和岗位,由于责任不清,出现IT安全问题时会导致相关部门或人员互相推诿。

二级:认知阶段:1、组织认识到IT安全的必要性,存在安全意识并意识到自身存在的IT安全风险,由管理层进行促进。2、IT安全的责任和义务被分配给了管理层和IT安全协调员,尽管安全协调员的管理权是有限的。

三级:改进阶段:1、组织充分认识到IT安全重要性,逐步加强安全意识并由高层进行促进。2、IT安全的责任和义务被分配给了高层、管理层和IT安全专员。各职能责任被明确分配、管理和执行。

四级:成熟阶段:1、组织完全理解IT安全的战略意义不断提高安全意识并由高层进行监督。2、IT安全的责任和义务被分配给了高层、管理层和IT安全专员。各职能责任被明确分配和理解、管理并执行强制考核。

五级:卓越阶段:1、组织完全理解IT安全的战略意义不断提高安全意识并由高层进行考核。2、IT安全的责任和义务被分配给了高层、管理层和IT安全专员。各职能责任被明确分配和理解、管理并一贯执行客观的考核。


管理维度

一级:初级阶段:1、制订了局部的、单一的信息安全管理制度、标准规范,但缺少整体的安全策略。2、由于不明确的安全责任,工作中缺少必要的安全流程

二级:认知阶段:1、制订了整体的安全政策,但体系不够科学,管理制度、标准规范缺乏可执行性。2、IT安全主要被看作是IT部门的责任和事情,业务部门认为与其无关,安全管理流程仅限于IT部门内部。

三级:改进阶段:1、明确的IT安全策略,充分定义了符合的整体安全管理制度。开始进行全面信息安全架构设计,有计划的建设信息安全保障体系。2、IT安全是全局的,安全流程的执行是强制性的,流程中的各环节是标准化、规范化的

四级:成熟阶段:1、IT安全策略、管理制度的架构和体系被不断完善,并略高于行业监管或合规要求。2、IT安全是全局的自上而下的,安全流程是弹性的,适用不同需求场景的,执行效果是可测量的

五级:卓越阶段:1、IT安全策略、管理制度的架构和体系是可持续的,并明显高于行业监管或合规要求。2、IT安全是全局的自上而下的,安全流程是弹性改进的,执行效果是可测量、可评价、可考核的


技术维度

一级:初级阶段:1、IT安全还是被动处理,缺少技术手段、工具作为支撑,发生安全问题往往由于缺少措施而无法处置或追查。2、对IT安全破坏的响应和后果是不可预测的

二级:认知阶段:1、具备并掌握了基础的安全技术方法和工具,通过安全风险评估,能够发现若干安全问题,开始采取一些措施提升IT安全水平。2、对IT安全破坏的响应和后果可以进行一定的预测,并制定必要的防范措施。日常IT安全报告不完整的、误导的或者不相关的

三级:改进阶段:1、采取必要的IT安全计划和安全解决方案,能够实施定期的安全评估检验安全效果,应对常见的安全风险。2、对IT安全破坏的响应和后果是充分预测的,并制定完备的防范措施。日常IT安全报告标准规范的

四级:成熟阶段:1、拥有较为全面的前瞻性、松耦合的技术方法、工具和解决方案,可自动化的应对安全风险的变化,并不断提升安全控制能力。2、对IT安全破坏的响应和后果是充分预测的,并制定有效的防范措施。日常IT安全报告是准确、可信的

五级:卓越阶段:1、拥有科学的、全面的前瞻性、松耦合的安全技术方法、工具和解决方案,可智能的应对安全风险的变化和未知风险,并通过可持续的自学习,不断提升安全控制能力。2、对IT安全破坏的响应和后果是可预测的、客观的,并制定可信的防范措施。日常IT安全报告是持续关联的



坚信少却更好,坚定元认知传播,坚持安全美学,拿个主题,讲300秒就够了。




原文始发于微信公众号(表图):成熟度参考:IT安全能力成熟度评价标准

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月19日22:53:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  成熟度参考:IT安全能力成熟度评价标准 http://cn-sec.com/archives/886710.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: