当我们学习ISO/SAE 21434标准的时候,会看到网络安全治理(Cybersecurity government)和网络安全管理(Cybersecurity management)两个概念。然而该标准中并没有给出安全治理和安全管理的十分清晰的定义和描述。即使在安全社区内,似乎也是讲安全管理的多,讲安全治理的少。那到底两个概念是什么?两者的区别和联系又是什么呢?笔者通过调研发现安全治理、安全管理和安全运营具有非常不同的功能,而又紧密联系。本文尝试先对安全治理给出一些论述,希望能为网络安全从业人员有些帮助。
注:后续笔者会继续通过公众号对ISO/SAE 21434第五章节涉及的其他概念和实践进行详述。
1. 安全治理是什么
ISO/SAE 21434 中5.4.1章节是对网络安全治理的要求进行了简要描述,本文试图对安全治理给出给详细的论述。
先看看几个权威机构关于信息安全治理(Information security governance)的定义
从这几个官方定义看,依然难以给人直观的感受,尤其是对没有接触到安全治理活动中的人来说更是如此,笔者根据个人的理解,将信息安全治理给一个非形式化的定义: 网络安全治理是对组织内所有安全相关活动的最高政策制定、裁决和监管的组织形式。通常由公司高级管理者组成的安全治理委员会负责实施。 注:从治理框架来看,网络安全治理和信息安全治理没有本质区别,本文不区分网络安全治理和信息安全治理两个概念,统一使用信息安全治理。
2、安全治理关键原则
1. 安全治理过程是决策和监督的过程,而不是“执行”过程。2. 安全治理最重要的是实现业务目标,而不是IT目标. 安全治理要确保定义业务的战略需求,并通过安全计划的实施以满足这些需求。高级管理层应确保信息安全服务于整体业务目标,并在整个组织中确立责任和问责制3. 确保安全治理本身与安全管理和安全运营职责分离,且避免冲突。4. 为所有利益相关方培育一个良好的安全环境。安全治理应该响应涉众的期望,记住不同的涉众可以有不同的价值和需求.安全治理团体应带头推广积极的信息安全文化,包括要求和支持安全教育、培训和意识项目。5. 评估与业务结果相关的绩效。从治理的角度来看,安全绩效不仅包括有效性和效率,还包括对整体业务目标的影响。治理执行者应该强制对安全绩效的度量程序进行审查,监视、审计和要求改进。 从长远来看,坚持这些原则对信息安全的成功至关重要。 3、安全治理的方法论
下面根据模型中的各个核心任务进行描述
3.1计划
→ 安全战略:
· 给定时间范围内的安全规划准备达成的状态或目标,比如达到某一安全成熟度级别
· 当前状态的评估,包括脆弱性和风险评估、合规审计和成熟度评估
· 当前状态和目标状态之间的差距分析
· 一组从差距分析中得出的项目列表和活动计划
· 根据风险消减、资源和技能要求、成本以及价值产生的时间等标准给出的项目优先级
· 报告框架,该报告能度量安全对业务目标达成的贡献度
· 战略规划应每年更新一次,以及每个季度对进展进行审核。
→ 安全架构
· 安全架构是支撑战略规划的基础模型、模板和原则的规则。这些安全架构要素用以开发符合业务要求的安全技术和流程解决方案,同时最大限度的标准化和可复用。
→ 安全预算
给相关的信息安全项目和运营活动分配资金的过程
→ 政策管理
设置政策管理原则,尤其是:
· 所属关系
· 文档标准
· 批准流程
· 执法制度
· 评审和例外流程
3.2实施
→ 制定治理流程
· 对管理和监督治理的过程进行设计,每个过程需要包括:
· 过程目标
· 执行的步骤以及顺序
· 过程中的每个步骤对应的职责
· 每个步骤的输入/输出
→ 建立治理机构
· 建立治理委员会和治理组织机构要求:
· 建立组织内信息安全职责与问责制
· 协调和仲裁冲突
· 对管理和监督流程进行指导
· 授权和赞助公司信息安全计划
治理机构的成员应代表组织的主要信息所有者和企业单位领导人,因此他不应该由IT或信息安全人员主导
→ 制定政策
政策管理过程,资源和财政策略的执行,也就是信息安全章程(charter)和公共的基线政策的制定。
3.3管理
→问责
确保治理机构规定的、记录在章程和基本政策中并由组织执行官授权的信息安全各自的职责和问责得到有效执行。
→投资
根据安全预算的决定,管理用于安全计划的财务资源的有效分配和问责。
→冲突管理
促进对不同信息所有者和利益相关者之间相互冲突的安全要求的讨论和评估。确保具体的政策和决策基于对个人和集体风险管理要求的充分考虑。
→项目指导
跟踪安全计划和项目里程碑、可交付成果和成本,以确保它们保持在可接受的偏差范围内。以及决定对异常和超标的处理行动
3.4监督
→ 项目监督
与计划目标相比,评估项目结果。报告实现的和未达成目标,以及意外的结果和后果。提出改进未来项目绩效的建议
→ 价值评估
定期评估信息安全投资的价值:
组织是否持续从涉及信息安全的投资中获得预期收益?
信息安全的交付成本是否与替代的外部供应源以及其他为自己提供这些服务的类似组织相比具有竞争力?
→运营监督
确保信息安全计划及其所有相关流程和活动的执行在计划策略 、架构 和政策计划设定的参数范围内完成。
管理风险异常:识别、评估和报告风险管理不足或控制合规性不足的资产领域。
→ 指标和度量
衡量和报告信息安全计划对整体 IT治理的影响。
4、安全治理组织如何创建?
1. 建立安全治理委员会关注业务结果,该委员会不能陷入操作问题,而是给出方向和监督。2. 在安全治理中,首席信息安全官(CISO)的角色是与高级主管、业务部门经理、IT组织和其他人员密切合作,以建立有效的治理框架和有效的风险评估;支持通过charter将权力下放给安全部门;支持建立符合所有相关法规和标准的可度量的安全控制3. 安全治理委员会中的代表应包括业务线、审计、风险、IT 和公司安全(例如欺诈、保护性安全和危机管理)的中高层管理人员。4. 在大型企业中,10人左右的是合理的.
5、安全治理最佳实践
1. 安全治理方法:为建立、维护和监督信息安全治理框架提供指导,该框架使组织的治理主体能够为信息安全和风险管理设定明确的方向,并展示他们的承诺
· 安全治理框架:提供了建立安全治理框架并确保组织的信息安全总体方法支持高标准治理的操作清单。
· 安全方向:概述了一种推荐的自顶向下的管理结构和机制,用于协调安全活动(例如,信息安全计划)和支持信息安全治理方法。它包括对CISO、工作组和每个工作组的任务的讨论。
2. 安全治理组件:通过创建信息安全战略和实现与组织战略目标一致的信息安全保障计划,为支持信息安全治理框架提供指导。
· 信息安全策略:提供制定信息安全策略的清单。
· 利益相关人的价值交付:关注组织应如何实施过程来衡量信息安全计划所交付的价值,并将结果报告给所有相关人员。
· 信息安全保证:讨论确保充分处理信息风险的措施
文章来源:汽车信息安全车 原文链接:https://mp.weixin.qq.com/s/ie0vHgVEGEqWyd_ZDVVAqw
作者: 路人甲-青骥 版权归原作者所有,如需转载,请联系作者。
原文链接:https://bbs.z-onesoft.com/omp/community/front/api/page/mainTz?articleId=7711