建立信息安全风险管理框架的五个步骤
应用技术也许比改变员工的思想或者在机构内部实施严格的流程更容易。但是,技术本身也许并不是非常有效的。在本期应用技巧中,我们将介绍机构在建立减少商业风险的框架方面可以采取的五个步骤。
第一步:理解和定义你的信息环境
要制定一个全面的信息风险管理框架,CISO(首席信息安全官)必须首先定义自己的职责。例如,市场研究公司Forrester Research的框架包含17个域,涉及到人员、流程和技术。但是,但是,自己定义这些域是没有意义的,除非每一个域都有合适的控制以保证信息的机密性、完整性和可用性。
第二步:确定机密性、完整性和可用性的要求
一个企业并非所有的方面都需要同样水平的保护。合同义务和立法规定也许会决定一些机构的商业控制。但是,对于许多其它企业来说,明智的判断要求与业务部门的合作伙伴合作确定这个事情。当评估一个功能的重要性的时候,你要回答三个问题:
·这个功能的保密性如何?评估这个功能的数据库突破对你整个公司业务的潜在影响。例如,联邦贸易委员会的制裁通常是企业不太担心的事情。企业名誉的损失和正在进行的法律纠纷通常会使企业付出更高的代价。
·这个功能的信息的准确性是不是非常可靠?下一步,评估数据被破坏的潜在的影响。这种数据是非常广泛的。例如,客户收到错误的药品的案子比客户技术支持投诉更难处理。
·如果这个功能在需要时却没有,后果是什么?时间几乎永远是金钱。你也许不担心你的即时消息谈话被窃听,但是,每天带来200万美元收入的公司网站却不能受到威胁或者被中断网络连接,即使就几分钟。
第三步:定义你的控制
在过去的几年里,安全办公室的任务显著扩大了。首席信息安全官现在负责商业持续性、灾难恢复和遵守法规等许多领域。还有一些首席信息安全官不直接负责的领域,如物理安全、应用程序部署和IT运营等。但是,这些功能对整个信息资产的安全有巨大的意义。首席信息安全官需要监督和制定所有这些业务部门的安全控制标准以便更有效地完成自己的工作。首席信息安全官应该基于框架的方法识别和衡量这些方面以便随着时间的推移跟踪他们的进展。
第四步:制定强制措施、监督和反应机制
一个信息风险管理框架必须保证这些控制措施是定义的、强制执行的、可以衡量的、监督的和报告的。对于这些控制措施不能充分减轻风险的地方,首席信息安全官必须保证减少这些风险,转移这种风险或者把风险降低到可以接受的程度。
第五步:衡量和报告
市场研究公司Forrester在最近的调查报告中发现,大多数安全规则计划仍处在早期阶段或者规划阶段。受访者表示,在制定他们的规则计划的时候有两个主要的挑战:找到正确的规则并且把这个安全规则翻译成商业语言。
许多安全经理把重点放在收集和报告战术的和状态更新信息方面。要制定一个成功的安全规则计划,首席信息安全官需要根据商业目的和目标识别、优先安排、监督和衡量安全。然后,他们应该重点把这些规则翻译成商业语言,让管理层在制定商业决策的时候使用这些规则。
在我们的调查中,许多首席信息安全官感到为机构找到正确的规则的巨大努力令他们应接不暇。目前,大多数机构都有很好的安全政策、合适的技术以及流程来强制执行这些规则。还有一些监督和反应能力,但是,大多数机构目前都没有好的安全衡量能力。衡量和报告依赖于安全政策,是你的安全计划中的重要组成部分,永远都不应该低估或者忽略。
评论