《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 2021安全規(guī)劃:三步搞定安全流程管理

2021安全規(guī)劃:三步搞定安全流程管理

2020-12-03
來源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 安全流程管理

  在攻防領(lǐng)域,防守方天生就處于一種劣勢地位,要利用有限的資源去對抗無限的未知威脅。在安全活動中,你是在充當救火隊員呢,還是將安全流程正式規(guī)定下來,在面對威脅時,有條不紊、不動聲色地化險為夷呢?

  目前,很多安全負責人都在著手制定2021年的安全管理規(guī)劃。以流程為中心的安全管理方法,可以有效提高安全管理的效率與有效性。但企業(yè)安全負責人該如何做好流程管理呢?主要分三步:

  制定一個安全流程目錄,闡明預(yù)期要實現(xiàn)的流程狀態(tài)。

  根據(jù)安全流程目錄及企業(yè)自身的資源狀況,有選擇地確定安全流程的優(yōu)先級。

  對于已經(jīng)確定要優(yōu)先制定和實施的安全流程,要通過評估現(xiàn)有流程、職責劃分、正式規(guī)定以及資源分配等步驟正式將這些優(yōu)先流程規(guī)定下來。

  制定安全流程目錄

  要進行有效的安全流程管理,首先需要制定一個安全流程目錄,確定未來2-4年內(nèi)要實施并逐漸發(fā)展成熟的安全流程。下圖列出了一個詳細的信息安全流程方案模型。

微信圖片_20201203154434.jpg

  圖1:安全管理流程方案模型示例

  治理流程——安全治理流程可確保采取合理、適當?shù)拇胧?,以最有效、最高效的方式保護組織機構(gòu)的信息資源,以實現(xiàn)其業(yè)務(wù)目標。盡管治理流程是整體安全流程模型的一個組成部分,但通常不歸安全部門負責。

  規(guī)劃流程——規(guī)劃流程往往是周期性的,而不是連續(xù)性的,通常涵蓋與組織機構(gòu)的安全計劃管理相關(guān)的戰(zhàn)略活動,包括戰(zhàn)略制定、年度計劃、安全架構(gòu)設(shè)計等。

  構(gòu)建流程——構(gòu)建流程與建立安全生態(tài)系統(tǒng)有關(guān),包含控制措施與策略管理、流程管理和系統(tǒng)集成三個相互關(guān)聯(lián)的流程。

  運營流程——運營流程包括支撐安全團隊與組織機構(gòu)其余團隊之間關(guān)系的流程(交互流程)和那些日常安全管理流程(防護流程)。

  上圖所列的安全流程管理方案內(nèi)容很詳細,涉及到的具體實施流程范圍廣泛,更適合于具有相對成熟的安全計劃的大型組織機構(gòu)。對于安全計劃尚處于早期階段或資源受限的組織機構(gòu),可重點關(guān)注運營流程中的防護流程。

  確定安全流程的優(yōu)先級

  對于大多數(shù)組織機構(gòu)而言,將安全流程正式規(guī)定下來,并一定要從頭開始確定和實施安全流程。相反,這需要根據(jù)現(xiàn)有流程所處的發(fā)展階段和成熟度情況進行修改、調(diào)整。

  幾乎沒有一家企業(yè)可以立即實施整套流程方案。更現(xiàn)實的方法是對各安全流程進行優(yōu)先級排序,分階段地正式實施安全流程。在確定各個流程的優(yōu)先級時要考慮的因素包括:

  哪些安全流程是組織機構(gòu)實現(xiàn)最低安全標準所必不可少的。

  可以更新和改進哪些現(xiàn)有流程和活動。

  對于那些明顯解決了重大風險的現(xiàn)有流程,應(yīng)優(yōu)先將這些流程正式規(guī)定下來。

  應(yīng)優(yōu)先考慮在短期內(nèi)能夠顯著改善風險管理的新流程構(gòu)想。

  是否有所需的知識和技術(shù)資源將特定流程正式規(guī)定下來。

  信息安全計劃的當前階段和成熟度(在還沒有適當?shù)闹卫砗徒M織功能的時候,就嘗試實施安全體系結(jié)構(gòu)流程,效果可能適得其反)。

  正式規(guī)定安全流程

  對于特定流程,第一步是確定流程所有權(quán),然后開始對各個流程進行記錄。流程的正式制定過程應(yīng)包括以下內(nèi)容:

  流程說明——概述流程目標和范圍。

  流程圖——包括構(gòu)成流程的子流程與活動之間工作流程。開始時,這可能是一個簡略的模型,以后可以根據(jù)需要將其分解含有更多詳細信息的多層次模型。

微信圖片_20201203154532.jpg 

  圖2:安全事件響應(yīng)流程示意圖

  集成矩陣——展示集成點以及與其他安全、運營和服務(wù)管理流程之間的相互關(guān)系。除了流程之間的集成點外,集成矩陣還應(yīng)指出構(gòu)成該流程的其他流程(例如,風險評估流程是業(yè)務(wù)連續(xù)性管理流程的一個關(guān)鍵部分)。

微信圖片_20201203154558.jpg

  圖3:流程集成矩陣示意圖

  技能和人員配備需求——表明該流程所需的直接和間接人力資源的數(shù)量和性質(zhì)。如果組織機構(gòu)內(nèi)沒有所需的技能或資源,則應(yīng)重點突出一下。

  角色和職責定義——確定有助于流程的特定組織職能以及這些職能的各自職責。這通常是通過職責分配(RACI)矩陣來實現(xiàn)的。

  用指標來度量和跟蹤流程績效——運營型或管理性更強的流程(例如,用戶配置)比戰(zhàn)略流程(例如,風險管理)更適合采用指標來衡量。流程指標包括進行訪問控制更改時的服務(wù)請求周轉(zhuǎn)時間,或補丁程序管理流程時的平均關(guān)鍵補丁程序?qū)嵤r間。

  自動化——確定有哪些流程組成部分可以通過技術(shù)自動化實現(xiàn)。

  哪些安全流程必須要做?

  某些流程對于有效管理安全至關(guān)重要,通常被認為是最基本的安全實踐。雖然這些流程并不是成熟的安全計劃所需的全部流程,但卻是滿足基本安全標準必須實施的基本流程。

  下面六個流程是企業(yè)安全的核心,通常是由CISO負責,其中某些內(nèi)容可能不是由安全團隊執(zhí)行,但應(yīng)該由CISO負責管理。

  安全治理:由功能和流程組成,可確保采取正確的措施來平衡保護組織機構(gòu)的安全和業(yè)務(wù)經(jīng)營的需求。

  策略管理:確定并記錄了企業(yè)在安全風險方面的特定情況,必須對這些風險加以控制才能滿足企業(yè)的風險偏好

  宣傳教育:通過宣傳教育可以在一定程度上提高安全意識,幫助重塑更加安全的企業(yè)文化

  身份與訪問管理:對用戶在組織機構(gòu)的整個生命周期中對用戶身份和訪問進行的系統(tǒng)化管理,包括管理、訪問(即身份驗證和授權(quán))和情報(即審計和分析)等一系列流程。

  漏洞管理:識別、評估和解決企業(yè)中安全漏洞的流程,重點在于組織機構(gòu)的技術(shù)基礎(chǔ)設(shè)施上

  事件響應(yīng):事故造成的損害程度在很大程度上取決于響應(yīng)的質(zhì)量,因此,至關(guān)重要的一點是要有一個良好的事件響應(yīng)流程

  寫在最后

  面對攻防領(lǐng)域天然不對等的狀況,在企業(yè)規(guī)模較小、安全防御體系發(fā)展并不健全時,采取臨時的救火策略可能是不得已的權(quán)宜之計;而隨著企業(yè)業(yè)務(wù)發(fā)展壯大、全防御體系發(fā)展日趨成熟,安全負責人應(yīng)該考慮更有效的安全管理方式。以流程為中心的安全管理方式,能夠有效提高安全管理的效率與有效性,應(yīng)該是企業(yè)安全負責人在進行新一年的安全管理規(guī)劃時不容忽視的一個重要環(huán)節(jié)。

  本文從一個詳細的安全流程方案模型出發(fā),介紹了組織機構(gòu)應(yīng)實施的四大類安全流程——治理流程、規(guī)劃流程、構(gòu)建流程和運行流程,然后描述了如何確定這些流程的優(yōu)先級,如何正式規(guī)定這些流程,最后指出了組織機構(gòu)要滿足最低安全標準應(yīng)該實施的安全流程,希望能夠通過有效的安全流程管理,提高企業(yè)安全防御系統(tǒng)的有效性。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。