cissp | 评估和应用安全治理原则

第一章 实现安全治理的原则和策略

  1.2 评估和应用安全治理原则

安全治理是与支持、定义和指导组织安全工作相关的实践集合。安全治理原则通常与公司和IT治理密切相关，并常常交织在一起。这三类治理的工作目标一般是相同的或相互关联的。例如，组织治理的共同目标是确保组织能持续存在并随着时间不断成长或扩张。因此，治理的共同目标是维护业务流程，同时努力实现增长和弹性。

    1.2.1 与业务战略、目标、使命和宗旨相一致的安全功能

安全管理计划确保正确地创建、执行和实施安全策略。安全管理计划使安全功能与业务战略、目标、使命和宗旨相一致。这包括基于业务场景、预算限制或资源稀缺来设计和实现安全业务场景通常是文档化的参数或声明的立场，用来定义作出决策或采取某类行为的需求。

最能有效处理安全管理计划的一个方法是自上而下。上层、高层或管理部门负责启动和定义组织的策略。安全策略为组织架构内的各个级别提供指导。中层管理人员负责将安全策略落实到标准、基线、指导方针和程序。然后，操作管理人员或安全专业人员必须实现安全管理文档中规定的配置。最后，最终用户必须遵守组织的所有安全策略。

安全管理是上层管理人员的责任，而不是IT人员的责任，它被认为是业务操作问题，而不是IT管理问题。在组织中负责安全的团队或部门应该是独立的。信息安全(InfoSec)团队应由指定的首席信息安全官(CISO)领导，CISO必须直接向高级管理层汇报。

安全管理计划的内容包括：定义安全角色，规定如何管理安全、由谁负责安全以及如何检验安全的有效性，制定安全策略，执行风险分析，要求对员工进行安全教育。这些工作都通过制定管理计划来完成。

安全管理计划团队应该开发是那种类型的计划。战略计划，战术计划和操作计划。

    1.2.2 组织的流程

安全治理需要关注组织的方方面面，包括收购、剥离和治理委员会的流程。收购与兼并会增加组织的风险等级。这些风险包括不恰当的信息泄露、数据丢失、停机或未能获得足够的投资回报率(Return On Investment，ROI)。除了所有兼并与收购中的典型业务和财务方面外，对于降低在转型期间发生损失的可能性，良好的安全监督和加强的审查通常也是极其重要的。

同样，资产剥离或任何形式的资产减少或员工裁减都会增加风险，进而增加对集中安全治理的需求。

加强安全治理的另外两个组织流程示例是变更控制/变更管理和数据分类。

变更控制/变更管理，是安全管理的另一重要内容。安全环境的变更可能引入漏洞、重叠、客体丢失和疏忽进而导致出现新脆弱性。变更的目标是确保变更不会消减或损坏安全。

数据分类，是基于数据的保密性、敏感性或秘密性需求而对其进行保护的主要手段。两种常用的数据分类方案是政府/军事分类和商业/私营部门分类。政府/军事分类方案分为五个分类级别：绝密、秘密、机密、敏感但未分类和未分类。

    1.2.3 组织的角色与责任

安全角色是个人在组织内安全实施和管理总体方案中扮演的角色。根据在安全环境中出现的逻辑顺序介绍如下六个角色。

高级管理者，组织所有者角色被分配给最终对组织安全的维护负责及最关心资产保护的人员。

安全专业人员，角色或计算机时间响应小组角色被分配给受过培训和经验丰富的网络、系统和安全工程师，他们负责落实高级管理者下达的指示。

数据所有者，角色将被分配给在安全解决方案中负责布置和保护信息分类的人员。

数据托管员，角色分配给负责执行安全策略与高级管理者规定的保护任务的人员。

用户，角色被分配给任何能访问安全系统的人员。

审计员，负责审查和验证安全策略是否正确执行。

    1.2.4 安全控制框架

为组织指定安全声明通常涉及很多事项，并非只是写下几条远大理想。多数情况下，需要很多规划才能制定出可靠的安全策略。

安全规划步骤中的第一步最重要，就是靠考虑组织所希望的安全解决方案的总体安全控制框架或结构。被应用广泛的安全控制框架之一是信息和相关技术控制目标(COBIT)。COBIT是有信息系统审计和控制协会编制的一套记录最佳IT安全实践的文档。

    1.2.5 应尽关心和尽职审查

“应尽关心”指使用合理的关注来保护组织的利益，“尽职审查”指的是具体的实践活动。对于考试，应尽关心是指指定一种正式的安全框架。尽职审查是指讲这种安全框架持续应用到组织的IT基础设施上。

*参考来源：网络（特别感谢cissp官方学习指南）

关于我们：

北京路劲科技有限公司(Beijing Lujin Technology Co. , Ltd.)成立于2019年1月4日，是一家提供全面系统集成与信息安全解决方案的专业IT技术服务公司。公司秉承“为网络安全保驾护航”的企业愿景及“提升国家整体安全”的使命，依据风险评估模型和等级保护标准，采用大数据等技术手段，开展网络安全相关业务。公司致力于为各个行业的业务信息化提供软件和通用解决方案、系统架构，系统管理和数据安全服务、以及IT咨询规划、系统集成与系统服务等专业化服务。公司立足北京，走向全国，始终坚持“换位、细节、感恩”的核心价值观，以“共赢、共享、共成长”的经营理念为出发点，集合了一批敢于创新、充满活力、热衷于为IT行业服务的优秀人才，致力于成为您身边的网络安全专家。

关注路劲科技，关注网络安全！

公司：北京路劲科技有限公司

地址：北京市昌平区南邵镇双营西路78号院2号楼5层504

PS：如果觉得本篇文章对您有所帮助，欢迎关注！帮忙点个赞，转发一下 分享出去吧，有问题可以公众号回复私聊小编，看到就会及时回复，也可加小编微信入群交流哦~~！

一起加油哦~

◆路劲科技 | 喜讯！热烈祝贺我司荣获《信息安全服务资质认证风险评估三级认证》证书

◆cissp | 理解和应用保密性、完整性、及可应用性的概念