安全之殇:如何将安全建设与商业价值挂钩
|
随着高管层对网络安全的了解日益增强,对安全负责人的汇报要求也就相应地提高了。在面临安全风险的任何领域,高管层都想知道:我们面临着哪些风险?我们的安全状况如何?我们对存在的安全风险该怎么办?安全运营指标很少能引起以业务为导向的高管层的共鸣。但对于许多组织机构来说,自己的安全流程成熟度则更好理解,而且流程成熟度也能更有效展现公司的风险状况。 对安全流程成熟度的分析结果可以用于高管层在制定战略计划和战术计划时,确定战略和战术计划中的项目优先级。 那么,如何通过安全流程成熟度来衡量公司的风险状况呢?这主要包括以下六个步骤。我们以一个具体的环境为例来介绍一个安全流程——事件响应。 制定流程目录:首先将事件响应作为一个正式的安全流程确定下来,制定一个文档,包括流程介绍、流程图、技能要求和人员配备要求等等。 评估流程成熟度:在公司规模小的时候,安全流程可能比较混乱,比如缺少问责制、安全指标记录不连续等等。这说明成熟度比较低,即便之前正式规定了下来,也不应该再使用。 根据流程成熟度制定风险报告:为了评估效果不佳的响应流程会有什么风险,可以成立一个小组,包括来自IT、安全和业务部门的代表。他们可以通过描述可能发生的事件以及影响大但不太可能发生的事件两种场景来模拟响应流程的重要性。重点是要关注当前的控制措施和预期的控制措施之间有何差距。 将差距分解为项目:对于风险报告中显示存在差距的地方,要制定一系列项目来逐渐完善。 制定战略计划:在根据流程的成熟度和企业的风险状况了解了每个项目的影响后,便可以根据预算、进度和影响成都来确定项目的优先级。例如,有些合规性项目需要立即执行,有些项目可以暂缓一段时间执行。 定期向高管层汇报进度:要让高管层对安全建设保持兴趣,关键是要通过定期汇报,介绍在最近一段时间内取得了哪些成果,让高管人员参与进来。
将安全流程存在的差距分解为项目 写在最后 安全建设作为一项必不可少但又不挣钱的项目,安全负责人在向高管汇报时,就需要体现安全建设计划的商业价值。既然安全运营指标无法有效引起安全负责人的共鸣,那么该用哪些安全指标进行汇报呢?安全流程该如何制定,其成熟度又该如何衡量呢?更多信息,敬请联系青藤,我们将为您提供更加专业的指导服务! (编辑:应用网_阳江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
