国产精品欧美一区二区三区-色播久久人人爽人人爽人人片av-狠狠88综合久久久久综合网-国产综合无码一区二区色蜜蜜

    為了優(yōu)化安全管理的流程和加強對流程的控制，需要設(shè)置關(guān)鍵成功因素和關(guān)鍵績效指標。

    1.角色的定義和職能

    安全管理需要設(shè)置安全管理的組織架構(gòu)，以確保流程的有效運作。

    2.觸發(fā)信息安全管理活動的事件

    為了維護企業(yè)的信息安全狀況在一個可接受的范圍內(nèi)，應(yīng)考慮在外部環(huán)境或內(nèi)部資產(chǎn)發(fā)生變化時，觸發(fā)安全活動，采取相應(yīng)控制措施。觸發(fā)安全管理活動的事件

包括以下內(nèi)容：

    · 新或變更的業(yè)務(wù)安全策略

    · 新或變更的風(fēng)險管理流程和指南

    · 新或變更的服務(wù)要求或服務(wù)

    · 新或變更的協(xié)議，比如：SLRs，SLAs，OLAs或合同

    · 回顧或修訂IT服務(wù)策略或計劃

    · 安全違背和安全事件

    3.安全管理KPI

    安全管理的KPI指標能夠評估過程和活動運行的效率和效益，主要包括以下

    · 安全事件影響到業(yè)務(wù)正常運行

    衡量該指標的內(nèi)容主要包括：服務(wù)臺中安全事件的數(shù)量不斷降低、安全事件導(dǎo)致的業(yè)務(wù)影響數(shù)量不斷降低、SLA中符合安全策略的數(shù)量逐步增加。

    · 非授權(quán)訪問數(shù)量不斷降低

    · 定期統(tǒng)計的不符合信息安全策略的數(shù)量逐步減少

    · 安全措施的改進

    衡量該指標的內(nèi)容主要包括：對改進安全流程和控制的數(shù)量保持增加；審計和安全測試中發(fā)現(xiàn)的不符合安全策略的數(shù)量不斷降低；

    · 人員的安全意識教育

    通過安全意識的教育和培訓(xùn)使組織全員安全意識不斷增強。

    · 所有IT資產(chǎn)進行識別和分類的占比數(shù)量不斷提高

    4.PDCA方式對流程的作用和改進

    (1)控制

    · 在組織中建立管理信息安全的組織框架

    信息安全的范圍通常會涉及企業(yè)的不同層面，通常需要全員參與。因此需要在企業(yè)內(nèi)部建立起有效的信息安全組織框架，為信息安全管理提供組織保障，以有效

管理、監(jiān)督和落實信息安全各項工作的開展。信息安全管理組織通常分為決策監(jiān)督、管理審計和貫徹執(zhí)行三個層面，層層推進，逐層監(jiān)督。

    · 建立信息安全策略的組織架構(gòu)，負責(zé)開發(fā)、批準和實施信息安全策略

    安全策略不應(yīng)僅由IT人員來開發(fā)，而應(yīng)當由今后將受該策略影響的整個組織中的各個部門人員共同努力開發(fā)出來。在創(chuàng)建安全策略時，還應(yīng)當有客戶和人力資源、法律、物業(yè)人員共同參與。比如：當安全策略涉及員工獎懲時，人力資源將負責(zé)安全策略的強制執(zhí)行。涉及第三方的商務(wù)合同通常由法律部門制定統(tǒng)一的文件格式并定期修訂。客戶通過SLAs協(xié)議，對服務(wù)提供者提出數(shù)據(jù)保護、訪問控制、系統(tǒng)可用性、備份與恢復(fù)等方面的要求。

     · 信息安全管理角色和職責(zé)被定義，且委派給合適的人員。

    組織通常依據(jù)其規(guī)模進行安全管理團隊人員的配備，從幾人到數(shù)十人不等。通常信息安全的角色包括信息安全主管、信息安全專家、信息安全管理員、信息安全

聯(lián)絡(luò)員。

    · 建立和控制文檔

    對信息安全管理體系記錄的填寫、編號、收集、歸檔、借閱、保管、銷毀等活

動實施管理和控制。

    (2)計劃

    企業(yè)管理人員經(jīng)常詢問這樣的問題：“我們受保護的程度到底如何，我們應(yīng)該做什么才能改進我們的安全計劃?”不管建立信息安全計劃的動機是什么，你都應(yīng)該遵循一套組織嚴密的方法論來指導(dǎo)安全計劃。安全計劃的開發(fā)分為三個階段：安

全需求分析、現(xiàn)狀分析及未來架構(gòu)、確定信息安全路線圖。

    · 信息安全需求：來源于業(yè)務(wù)需求和服務(wù)風(fēng)險、計劃和策略、SLAs 、OLAs、

       法律、道德等與安全相關(guān)的方面。此外，還應(yīng)該考慮可供利用的資金、組織

       主流文化對安全的態(tài)度等因素。信息安全策略表明了組織在安全方面的觀點

       和態(tài)度，應(yīng)該在組織的更大范圍內(nèi)實施，而不僅僅是針對IT服務(wù)的提供者。

       安全策略的修訂和更新由安全管理者負責(zé)。

    · 現(xiàn)狀分析和未來架構(gòu)：評估現(xiàn)狀時候，其目標是熟悉目前的環(huán)境、了解目前

       存在的問題或信息安全中的薄弱環(huán)節(jié)，并規(guī)劃未來的安全架構(gòu)。

    · 確定信息安全線路：利用現(xiàn)有安全現(xiàn)狀與未來理想狀況之間的差距分析結(jié)

       果，考慮時間、成本和優(yōu)先級的因素，確定信息安全實現(xiàn)的路線圖。

    (3)執(zhí)行

    信息安全管理體系的執(zhí)行目標是通過程序、工具和控制措施，確保信息安全策略的有效執(zhí)行。實施范圍主要包括以下內(nèi)容——

    · 資產(chǎn)責(zé)任人：在配置管理庫中進行信息資產(chǎn)責(zé)任人登記

    · 信息分類：按照信息的敏感程度和影響范圍進行信息的分類

    所有的信息資產(chǎn)都應(yīng)該在配置管理庫中進行登記，在登記的信息中需要考慮安全方面的因素，比如信息資產(chǎn)的分類、CIA屬性、資產(chǎn)關(guān)聯(lián)關(guān)系等安全相關(guān)內(nèi)容，

當信息資產(chǎn)發(fā)生變化的時候，應(yīng)對其實施過程進行記錄，相應(yīng)的責(zé)任人應(yīng)該按照安全策略的要求采取適當?shù)男袆?。成功?zhí)行信息安全控制和度量需要依賴以下因素：

    · 安全策略的清晰定義和執(zhí)行，符合業(yè)務(wù)需求

    · 信息安全流程被證實是有效且適當?shù)?，獲得了管理者的支持

    · 安全意識培訓(xùn)符合安全的實際需求

    · 安全技術(shù)不斷完善

    (4)檢査

    可以根據(jù)企業(yè)的自身需要，組織并實施安全評估活動，主要包括以下內(nèi)容：

    · 對SLAs和oLAs中的安全需求和安全策略的符合性進行評估

    · 定期對IT系統(tǒng)技術(shù)安全設(shè)施實施審計

    · 定期進行各類審計活動

    (5)行動

    在改進環(huán)節(jié)中主要需要考慮以下內(nèi)容：

    · 測量信息安全計劃的實施情況

· 定義安全監(jiān)控和數(shù)據(jù)采集的需求

· 監(jiān)控、驗證和跟蹤安全級別是否符合組織的安全策略和實施細則的要求

    · 通過采集CIA監(jiān)控數(shù)據(jù)分析安全控制的實施效果

    · 改進安全服務(wù)協(xié)議，比如SLAs、OLAs中的相關(guān)條款

    · 改進安全測量和控制的執(zhí)行

    · 驗證風(fēng)險減緩策略

    · 安全違背趨勢分析

    · 安全事件的處理和決策分析

    · 利用報表分析