【网络安全韧性评估】资产管理领域(二):资产管理计划

admin 2024年11月14日21:59:18评论19 views字数 3155阅读10分31秒阅读模式

0x00 前言

首先,先勘误一下,在上一讲中,资产管理流程图的第三和第四环节顺序错乱了。正确的图片如下所示

【网络安全韧性评估】资产管理领域(二):资产管理计划
图1:正确的资产管理流程图

其次,在这一讲中,我们采用了 5W2H 的方法对资产管理的计划进行了解读。

【网络安全韧性评估】资产管理领域(二):资产管理计划
图2:5W2H分析法
【网络安全韧性评估】资产管理领域(二):资产管理计划
图3:资产管理计划

在开启资产管理计划之前,组织需要先完成准备工作。资产管理计划的主要内容如下所示。资产管理计划结束后,会需要有个输出内容。

【网络安全韧性评估】资产管理领域(二):资产管理计划
图4:资产管理计划所包含的内容

0x01 准备工作

下面清单总结了组织在开始制定资产管理计划之前需要完成的任务以及需要收集的信息。

输入 说明
范围声明 本声明需要定义资产管理计划和方案需要解决的问题。资产管理至少应涵盖支持组织关键服务的所有资产。不确定从何处着手的组织应将重点放在最基本的服务和直接影响其使命的领域上。这种方法可以让组织首先解决风险最大的领域,并减轻其影响。如果您的组织参与过网络安全韧性评估,那么从网络安全韧性评估期间处理的关键服务开始可能会比较好。
利益相关者名单

利益相关者名单应与范围声明保持一致,并包括所有适当的内部和外部实体。潜在候选人包括:

  • 执行和高级管理层

  • 业务线负责人,尤其是关键服务所有者

  • 信息技术

  • 法务

  • 董事会

  • 技术供应商

  • 监管机构和审计员

  • 合规人员

管理支持 高级管理层对建立资产管理程序和实施流程的支持
对可接受的资产管理方法的理解和认可 管理层对拟采用资产管理方法的接受,包括利益相关者对已识别的关键资产和服务可接受风险容忍度的期望。
外部强加的资产管理要求。 规定资产定义的强制性要求的监管要求;还包括其他需求,如服务水平协议要求。
风险 分类和优先级排序的风险列表。
资产管理的责任分配 资产管理工作职责描述,例如:执行所有权、决策、沟通、测试和中断风险管理:
资产管理预算

识别用于执行资产管理规划和实施的可用资金,包括:

  • 人员资源

  • 工具(应用程序及相关硬件)

  • 第三方支持

  • 用于纠正资产管理过程中识别出的问题的资金

0x02 资产管理计划获得支持

2.1 为什么需要获得领导层的支持?

获得管理层的支持对于确保资产管理计划的有效实施至关重要。

自上而下的方法通常有助于组织的资产管理计划满足其韧性目标。

2.2 获得领导层的支持的目的是什么?

管理层可以通过提供适当的资金、监督和人员配置来支持资产管理计划

自上而下的方法还可以让资产管理的统一方法论能够跨越组织界限进行实施

2.3 需要获取的领导层的支持程度是多少?

所需的管理层支持程度取决于资产在组织中的位置。对于涉及整个组织的资产管理计划,需要高级执行层的支持。像服务层面这样的较小规模的实施,可能只需要负责该特定服务的管理层的支持。

例如,在一个电力公用事业组织中,若有四个业务单位分别提供发电、输电、配电和业务支持服务,那么每个业务单位都构成了该组织的一个服务层。

若要为这些服务单独实施资产管理计划,那么支持应该来自各自业务单位的管理层;若要求所有的业务单位实施共同的资产管理计划,那么支持应该来自电力公用事业的资深管理层。

0x03 识别服务

这里的服务指的是组织在履行职责或生产产品过程中,所进行的有限数量的活动。

3.1 为什么要识别服务?

在组织中识别资产可能是一项艰巨的任务,因此组织应首先识别其提供的服务。

然后,组织可以通过梳理支持这些服务的资产来识别资产,并将资产整体划分为可管理的部分

3.2 识别服务的信息来源有哪些?

服务通常与特定的组织相对应,但服务可以在业务单位之间共享,并跨越组织界限。例如,大型组织的全球供应链将跨越许多组织界限。

确定组织服务可能有用信息的来源包括:

  • 战略计划
  • 商业计划
  • 合同
  • 客户请求
  • 标准工作流程

服务可以是面向外部,也可以是面向内部的。面向外部的服务通常是面向客户的,而且通常是容易识别的服务,因为它们涉及已知的商品。为了实现外部服务的使命,组织还应该考虑其内部服务,例如:招聘流程、绩效评估和培训计划等。

【网络安全韧性评估】资产管理领域(二):资产管理计划
表2:不同的关键基础设施和他们可能提供的关键服务

内部服务:指组织内部各部门、团队和流程等提供的支持性服务,这些服务不直接面向外部客户,而是用于帮助组织内部的其他单位有效地运作,以便实现组织的整体目标和使命。

外部服务:指那些直接面向客户的服务,它们通常专注于组织生产或提供的具体产品,目的是满足外部客户的需求,增强客户体验,并促进组织的市场表现和业务增长。

3.3 如何进行服务识别工作

为了方便服务的识别工作,组织应考虑使用一种文档记录方法来跟踪已识别的服务,例如:电子表格、配置控制的文档或数据库等。

【网络安全韧性评估】资产管理领域(二):资产管理计划
图5:服务记录表格示例

0x04 对服务进行优先级排序

4.1 为什么要对服务进行优先级排序?

组织在识别了所提供的所有服务过后,应当对这些服务进行优先级排序,以确定高价值服务。这里的高价值服务指的是:对于组织完成其使命而言,至关重要的服务,一旦这些服务失败,可能会阻碍组织战略目标的实现。

【网络安全韧性评估】资产管理领域(二):资产管理计划
图6:关键服务可能因流程失败或特定资产(如信息和技术)的失败而受到干扰

4.2 对服务进行优先级排序应考虑的因素有哪些?

组织必须根据服务的优先级,来为服务分配价值。在优先级排序和价值分配时,组织应该考虑如下因素:

  • 业务影响分析(business impacts analysis,简称 BIA)的结果
  • 服务或业务连续性计划
  • 在风险评估活动中识别的服务风险后果
  • 战略目标
  • 安全分类

4.3 如何进行优先级排序工作

一旦组织对其服务进行了优先级排序工作,就应该使用之前选择的文档工具来记录这些信息

然后,按照比例为其最重要的服务分配资源和预算,以进行资产识别等韧性活动。

0x05 建立一个通用的资产的定义

组织在了解了实现其使命所需要的服务之后,需要定义为这些服务提供支持的资源。资源是服务运行所需要的原始材料,包括:人员、信息、技术和设施。

5.1 人员

人员资产指的是对组织服务进行操作和监控的关键员工。组织内部的人员(有时还包括外部人员)负责执行流程和程序,以确保服务能够实现组织的使命。

【网络安全韧性评估】资产管理领域(二):资产管理计划
表3:内部和外部的人员资产示例

在识别人员资产时,组织应考虑成功运营一项服务所必需的关键角色,而不是实际担任该角色的人。建议每个角色都包含一个明确列出的职能或责任清单,以履行该角色的职责。

为每个角色定义职能将帮助组织确保人员具备足够的能力来执行该角色,并且可以有不止一个人来支持该角色。这也有助于在发现人员不足时识别培训需求。

5.2 信息

信息资产是指任何媒体上所需的、用于组织服务成功运行的信息或数据。信息资产也可以是服务的输出或副产品。

【网络安全韧性评估】资产管理领域(二):资产管理计划
表4:信息资产的示例

信息可以是位或字节、文件或文档,也可以是存储在数据库中的集体信息。组织必须确定它希望定义信息资产的粒度

5.3 技术

5.3.1 什么是技术资产

技术资产包括软件、硬件、固件以及任何物理连接

5.3.2 技术资产在哪里

技术资产可以位于组织内的任何地方,由组织决定如何描述这些技术资产。

5.3.3 如何识别技术资产

推荐从网络设备级别开始,在那里可以识别到常见的网络组件,如路由器、服务器和交换机。

然后,继续识别个人计算设备,如台式电脑、笔记本电脑和平板电脑。

5.3.4 技术识别应该做到什么程度

将设备归类到广泛的类别中,为组织提供了一个基础,使得组织能够在其基础设施中唯一地识别每一台设备。

同时,这也为组织设定了管理的范围和控制边界,以便更有效地进行管理和维护。

5.4 设施

设施资产是指组织在提供或执行服务时所依赖的任何物理场所。设施可以由组织拥有和控制,也可以由外部业务伙伴控制。

【网络安全韧性评估】资产管理领域(二):资产管理计划
表5:设施资产的示例

设施资产容纳了前面讨论的人员、技术以及信息资产,并且所有资产的保护策略必须进行整合

0x06 输出内容

输出 说明
服务优先级列表 一个清晰的优先级列表,明确标识出价值最高的服务。
资产定义 组织的资产被明确定义,以便负责识别资产的利益相关者可以一致地记录它们。

原文始发于微信公众号(喵苗安全):【网络安全韧性评估】资产管理领域(二):资产管理计划

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月14日21:59:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【网络安全韧性评估】资产管理领域(二):资产管理计划http://cn-sec.com/archives/3393854.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息