0x00 前言
首先,先勘误一下,在上一讲中,资产管理流程图的第三和第四环节顺序错乱了。正确的图片如下所示
其次,在这一讲中,我们采用了 5W2H 的方法对资产管理的计划进行了解读。
在开启资产管理计划之前,组织需要先完成准备工作。资产管理计划的主要内容如下所示。资产管理计划结束后,会需要有个输出内容。
0x01 准备工作
下面清单总结了组织在开始制定资产管理计划之前需要完成的任务以及需要收集的信息。
| 输入 | 说明 |
|---|---|
| 范围声明 | 本声明需要定义资产管理计划和方案需要解决的问题。资产管理至少应涵盖支持组织关键服务的所有资产。不确定从何处着手的组织应将重点放在最基本的服务和直接影响其使命的领域上。这种方法可以让组织首先解决风险最大的领域,并减轻其影响。如果您的组织参与过网络安全韧性评估,那么从网络安全韧性评估期间处理的关键服务开始可能会比较好。 |
| 利益相关者名单 |
利益相关者名单应与范围声明保持一致,并包括所有适当的内部和外部实体。潜在候选人包括:
|
| 管理支持 | 高级管理层对建立资产管理程序和实施流程的支持 |
| 对可接受的资产管理方法的理解和认可 | 管理层对拟采用资产管理方法的接受,包括利益相关者对已识别的关键资产和服务可接受风险容忍度的期望。 |
| 外部强加的资产管理要求。 | 规定资产定义的强制性要求的监管要求;还包括其他需求,如服务水平协议要求。 |
| 风险 | 分类和优先级排序的风险列表。 |
| 资产管理的责任分配 | 资产管理工作职责描述,例如:执行所有权、决策、沟通、测试和中断风险管理: |
| 资产管理预算 |
识别用于执行资产管理规划和实施的可用资金,包括:
|
0x02 资产管理计划获得支持
2.1 为什么需要获得领导层的支持?
获得管理层的支持对于确保资产管理计划的有效实施至关重要。
自上而下的方法通常有助于组织的资产管理计划满足其韧性目标。
2.2 获得领导层的支持的目的是什么?
管理层可以通过提供适当的资金、监督和人员配置来支持资产管理计划。
自上而下的方法还可以让资产管理的统一方法论能够跨越组织界限进行实施。
2.3 需要获取的领导层的支持程度是多少?
所需的管理层支持程度取决于资产在组织中的位置。对于涉及整个组织的资产管理计划,需要高级执行层的支持。像服务层面这样的较小规模的实施,可能只需要负责该特定服务的管理层的支持。
例如,在一个电力公用事业组织中,若有四个业务单位分别提供发电、输电、配电和业务支持服务,那么每个业务单位都构成了该组织的一个服务层。
若要为这些服务单独实施资产管理计划,那么支持应该来自各自业务单位的管理层;若要求所有的业务单位实施共同的资产管理计划,那么支持应该来自电力公用事业的资深管理层。
0x03 识别服务
这里的服务指的是组织在履行职责或生产产品过程中,所进行的有限数量的活动。
3.1 为什么要识别服务?
在组织中识别资产可能是一项艰巨的任务,因此组织应首先识别其提供的服务。
然后,组织可以通过梳理支持这些服务的资产来识别资产,并将资产整体划分为可管理的部分。
3.2 识别服务的信息来源有哪些?
服务通常与特定的组织相对应,但服务可以在业务单位之间共享,并跨越组织界限。例如,大型组织的全球供应链将跨越许多组织界限。
确定组织服务可能有用信息的来源包括:
-
战略计划 -
商业计划 -
合同 -
客户请求 -
标准工作流程
服务可以是面向外部,也可以是面向内部的。面向外部的服务通常是面向客户的,而且通常是容易识别的服务,因为它们涉及已知的商品。为了实现外部服务的使命,组织还应该考虑其内部服务,例如:招聘流程、绩效评估和培训计划等。
内部服务:指组织内部各部门、团队和流程等提供的支持性服务,这些服务不直接面向外部客户,而是用于帮助组织内部的其他单位有效地运作,以便实现组织的整体目标和使命。
外部服务:指那些直接面向客户的服务,它们通常专注于组织生产或提供的具体产品,目的是满足外部客户的需求,增强客户体验,并促进组织的市场表现和业务增长。
3.3 如何进行服务识别工作
为了方便服务的识别工作,组织应考虑使用一种文档记录方法来跟踪已识别的服务,例如:电子表格、配置控制的文档或数据库等。
0x04 对服务进行优先级排序
4.1 为什么要对服务进行优先级排序?
组织在识别了所提供的所有服务过后,应当对这些服务进行优先级排序,以确定高价值服务。这里的高价值服务指的是:对于组织完成其使命而言,至关重要的服务,一旦这些服务失败,可能会阻碍组织战略目标的实现。
4.2 对服务进行优先级排序应考虑的因素有哪些?
组织必须根据服务的优先级,来为服务分配价值。在优先级排序和价值分配时,组织应该考虑如下因素:
-
业务影响分析(business impacts analysis,简称 BIA)的结果 -
服务或业务连续性计划 -
在风险评估活动中识别的服务风险后果 -
战略目标 -
安全分类
4.3 如何进行优先级排序工作
一旦组织对其服务进行了优先级排序工作,就应该使用之前选择的文档工具来记录这些信息。
然后,按照比例为其最重要的服务分配资源和预算,以进行资产识别等韧性活动。
0x05 建立一个通用的资产的定义
组织在了解了实现其使命所需要的服务之后,需要定义为这些服务提供支持的资源。资源是服务运行所需要的原始材料,包括:人员、信息、技术和设施。
5.1 人员
人员资产指的是对组织服务进行操作和监控的关键员工。组织内部的人员(有时还包括外部人员)负责执行流程和程序,以确保服务能够实现组织的使命。
在识别人员资产时,组织应考虑成功运营一项服务所必需的关键角色,而不是实际担任该角色的人。建议每个角色都包含一个明确列出的职能或责任清单,以履行该角色的职责。
为每个角色定义职能将帮助组织确保人员具备足够的能力来执行该角色,并且可以有不止一个人来支持该角色。这也有助于在发现人员不足时识别培训需求。
5.2 信息
信息资产是指任何媒体上所需的、用于组织服务成功运行的信息或数据。信息资产也可以是服务的输出或副产品。
信息可以是位或字节、文件或文档,也可以是存储在数据库中的集体信息。组织必须确定它希望定义信息资产的粒度。
5.3 技术
5.3.1 什么是技术资产
技术资产包括软件、硬件、固件以及任何物理连接。
5.3.2 技术资产在哪里
技术资产可以位于组织内的任何地方,由组织决定如何描述这些技术资产。
5.3.3 如何识别技术资产
推荐从网络设备级别开始,在那里可以识别到常见的网络组件,如路由器、服务器和交换机。
然后,继续识别个人计算设备,如台式电脑、笔记本电脑和平板电脑。
5.3.4 技术识别应该做到什么程度
将设备归类到广泛的类别中,为组织提供了一个基础,使得组织能够在其基础设施中唯一地识别每一台设备。
同时,这也为组织设定了管理的范围和控制边界,以便更有效地进行管理和维护。
5.4 设施
设施资产是指组织在提供或执行服务时所依赖的任何物理场所。设施可以由组织拥有和控制,也可以由外部业务伙伴控制。
设施资产容纳了前面讨论的人员、技术以及信息资产,并且所有资产的保护策略必须进行整合。
0x06 输出内容
| 输出 | 说明 |
|---|---|
| 服务优先级列表 | 一个清晰的优先级列表,明确标识出价值最高的服务。 |
| 资产定义 | 组织的资产被明确定义,以便负责识别资产的利益相关者可以一致地记录它们。 |
原文始发于微信公众号(喵苗安全):【网络安全韧性评估】资产管理领域(二):资产管理计划
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论