为了优化安全管理的流程和加强对流程的控制,需要设置关键成功因素和关键绩效指标。
1.角色的定义和职能
安全管理需要设置安全管理的组织架构,以确保流程的有效运作。
2.触发信息安全管理活动的事件
为了维护企业的信息安全状况在一个可接受的范围内,应考虑在外部环境或内部资产发生变化时,触发安全活动,采取相应控制措施。触发安全管理活动的事件
包括以下内容:
· 新或变更的业务安全策略
· 新或变更的风险管理流程和指南
· 新或变更的服务要求或服务
· 新或变更的协议,比如:SLRs,SLAs,OLAs或合同
· 回顾或修订IT服务策略或计划
· 安全违背和安全事件
3.安全管理KPI
安全管理的KPI指标能够评估过程和活动运行的效率和效益,主要包括以下
· 安全事件影响到业务正常运行
衡量该指标的内容主要包括:服务台中安全事件的数量不断降低、安全事件导致的业务影响数量不断降低、SLA中符合安全策略的数量逐步增加。
· 非授权访问数量不断降低
· 定期统计的不符合信息安全策略的数量逐步减少
· 安全措施的改进
衡量该指标的内容主要包括:对改进安全流程和控制的数量保持增加;审计和安全测试中发现的不符合安全策略的数量不断降低;
· 人员的安全意识教育
通过安全意识的教育和培训使组织全员安全意识不断增强。
· 所有IT资产进行识别和分类的占比数量不断提高
4.PDCA方式对流程的作用和改进
(1)控制
· 在组织中建立管理信息安全的组织框架
信息安全的范围通常会涉及企业的不同层面,通常需要全员参与。因此需要在企业内部建立起有效的信息安全组织框架,为信息安全管理提供组织保障,以有效
管理、监督和落实信息安全各项工作的开展。信息安全管理组织通常分为决策监督、管理审计和贯彻执行三个层面,层层推进,逐层监督。
· 建立信息安全策略的组织架构,负责开发、批准和实施信息安全策略
安全策略不应仅由IT人员来开发,而应当由今后将受该策略影响的整个组织中的各个部门人员共同努力开发出来。在创建安全策略时,还应当有客户和人力资源、法律、物业人员共同参与。比如:当安全策略涉及员工奖惩时,人力资源将负责安全策略的强制执行。涉及第三方的商务合同通常由法律部门制定统一的文件格式并定期修订。客户通过SLAs协议,对服务提供者提出数据保护、访问控制、系统可用性、备份与恢复等方面的要求。
· 信息安全管理角色和职责被定义,且委派给合适的人员。
组织通常依据其规模进行安全管理团队人员的配备,从几人到数十人不等。通常信息安全的角色包括信息安全主管、信息安全专家、信息安全管理员、信息安全
联络员。
· 建立和控制文档
对信息安全管理体系记录的填写、编号、收集、归档、借阅、保管、销毁等活
动实施管理和控制。
(2)计划
企业管理人员经常询问这样的问题:“我们受保护的程度到底如何,我们应该做什么才能改进我们的安全计划?”不管建立信息安全计划的动机是什么,你都应该遵循一套组织严密的方法论来指导安全计划。安全计划的开发分为三个阶段:安
全需求分析、现状分析及未来架构、确定信息安全路线图。
· 信息安全需求:来源于业务需求和服务风险、计划和策略、SLAs 、OLAs、
法律、道德等与安全相关的方面。此外,还应该考虑可供利用的资金、组织
主流文化对安全的态度等因素。信息安全策略表明了组织在安全方面的观点
和态度,应该在组织的更大范围内实施,而不仅仅是针对IT服务的提供者。
安全策略的修订和更新由安全管理者负责。
· 现状分析和未来架构:评估现状时候,其目标是熟悉目前的环境、了解目前
存在的问题或信息安全中的薄弱环节,并规划未来的安全架构。
· 确定信息安全线路:利用现有安全现状与未来理想状况之间的差距分析结
果,考虑时间、成本和优先级的因素,确定信息安全实现的路线图。
(3)执行
信息安全管理体系的执行目标是通过程序、工具和控制措施,确保信息安全策略的有效执行。实施范围主要包括以下内容——
· 资产责任人:在配置管理库中进行信息资产责任人登记
· 信息分类:按照信息的敏感程度和影响范围进行信息的分类
所有的信息资产都应该在配置管理库中进行登记,在登记的信息中需要考虑安全方面的因素,比如信息资产的分类、CIA属性、资产关联关系等安全相关内容,
当信息资产发生变化的时候,应对其实施过程进行记录,相应的责任人应该按照安全策略的要求采取适当的行动。成功执行信息安全控制和度量需要依赖以下因素:
· 安全策略的清晰定义和执行,符合业务需求
· 信息安全流程被证实是有效且适当的,获得了管理者的支持
· 安全意识培训符合安全的实际需求
· 安全技术不断完善
(4)检査
可以根据企业的自身需要,组织并实施安全评估活动,主要包括以下内容:
· 对SLAs和oLAs中的安全需求和安全策略的符合性进行评估
· 定期对IT系统技术安全设施实施审计
· 定期进行各类审计活动
(5)行动
在改进环节中主要需要考虑以下内容:
· 测量信息安全计划的实施情况
· 定义安全监控和数据采集的需求
· 监控、验证和跟踪安全级别是否符合组织的安全策略和实施细则的要求
· 通过采集CIA监控数据分析安全控制的实施效果
· 改进安全服务协议,比如SLAs、OLAs中的相关条款
· 改进安全测量和控制的执行
· 验证风险减缓策略
· 安全违背趋势分析
· 安全事件的处理和决策分析
· 利用报表分析