0x00 前言
企业安全治理流程包括以下六个方面
- 安全策略
- 安全标准
- 基线
- 准则
- 工作程序
- 实施
主要内容:
0x01 组织安全策略
安全策略是由高级管理层指定的一份全面声明,规定了安全在组织内扮演的角色。
安全策略可以是组织策略,关于特定问题的策略或关于特定系统的策略。
1.组织安全策略管理层确认内容
管理层确定如何建立安全计划,列出计划目标、分配职责、说明安全的战略和战术价值,并论述应该如何执行安全计划。
2.安全策略涉及内容
安全策略应该涉及
- 法律
- 法规
- 责任
- 如何遵从规定。
组织安全策略为组织内所有的未来的安全活动提供范围和方向,确定高级管理层愿意接受的风险程度。
3.重要特征
- 组织业务目标驱动安全策略的创建。实现和执行。安全策略不应该阻碍业务目标的实现(安全是为业务保驾护航,而不是成为业务的绊脚石)
- 组织安全策略应该是一份为管理层和全天员工提供参考的、易于理解的文档(有落地参考手册)
- 组织安全策略应建立、实现安全性,并将其集成到所有业务功能和流程(安全接入流程)
- 应该借鉴并支持适用于组织的所有法律法规(安全策略必须在不违法的情况下指定)
- 应随组织的发展变化而审查和修订(有版本迭代更新)
- 每一次迭代都应该标注明日期,并实施严格的版本控制。
- 监管组织安全策略的部门和个人能够方便地查看该策略的内容。将安全策略内容发布在门户网站上(但是这个不会被抄袭吗,或许是匠心精神,可以去国外看看其他公司的安全策略,比如Google)
- 指定组织安全策略应考虑未来几年的状况。
- 组织安全策略表现出的专业水准能强化其重要性以及遵从的必要性
- 组织安全策略中不应包含任何无法理解的语言。
- 定期审核组织安全策略。
4.特定问题策略
特定问题策略也称为功能策略,主要处理管理层认为需要详细解释和关注的特定安全问题,确保建立一个完善的安全结构,帮助员工了解如何遵从这些安全策略。
- 邮箱邮件使用策略
- VPN使用策略
- 电脑软件使用策略
5.组织安全策略层级
- 可接受的使用策略
- 风险管理策略
- 漏洞管理策略
- 数据保护策略
- 访问控制策略
- 业务持续策略
- 日志聚合和持续审计策略
- 人员安全策略
- 物理安全策略
- 安全应用程序研发策略
- 变更控制策略
- 电子邮件策略
- 事故响应策略
6.安全策略的类型
- 监管性策略
- 建议性策略
- 指示性策略
0x02 标准
标准是指强制性活动、行动或规则,是明确的、详细的、可测量的。
安全标准可以规定如何使用硬件和软件产品,还可以指示用户的合理行为。
可以理解为标准 = 一定要做的事情,一定要遵守的事情
0x03 基线
基线是指在将来变更时用于比较的最终参考点。相当于是一条分数线,比如达到这条分数线才算是ok的。
非技术基线
- 要求员工佩戴持有照片的工作照
- 访问前台登记
- 参观需要陪同
以上的本人有幸在华为见到过这种保护基线
0x04 准则
准则是在没有特定标准可用时,向用户、IT人员、运营人员以及其他人员提供的建议性举措和运营指导。灰色地带的参考。
0x05 工作程序
工作程序是为了实现某个目标而执行的包含详细步骤的任务。类似于某些工具的使用手册,配置方案等,类似于wiki
0x06 实施
实施相当于是将整个安全治理流程的内容进行落地,通过各种方式提高安全意义,以及意识到安全的重要性。这势必会成为一个趋势。
0x07 思考
实际上就是:高层指定要确定的策略,中层去确认具体的标准,然后指定一个基线作为检查标准,对标准里的条例进行详细的解释,形成标准文档,就是所谓的工作程序,最后需要确定这些内容是真正落实了的,并且有结果反馈,目前可以得知的做的不错的是华为,感觉是可以当做一个参考标准来指定自己的企业安全治理规范。
所谓的治理规范实际上就是一个企业遵循的安全规则。