让安全部门更高效的几个元素
发布时间:2022-05-18 09:15:54 所属栏目:安全 来源:互联网
导读:应用网络安全研究所(IANS)对ISC-Squared的80个成员所作的抽样调查发现,组织成员在技术才能方面得分很高,但是在组织参与方面稍落后于IANS对1000个对象所作的更广泛的抽样调查。 IANS把组织参与分为七个因素。本文列出了这几个因素,并介绍了ISC-Squared的成
|
应用网络安全研究所(IANS)对ISC-Squared的80个成员所作的抽样调查发现,组织成员在技术才能方面得分很高,但是在组织参与方面稍落后于IANS对1000个对象所作的更广泛的抽样调查。 IANS把组织参与分为七个因素。本文列出了这几个因素,并介绍了ISC-Squared的成员相比更广泛的成员情况如何。 第一个因素:获得事实的控制权。 通过获得事实的控制权,ISC-Squared的成员按CISO和团队执行下列工作的方式来打分:识别所使用的威胁和风险数据的种类;识别那些资产和流程面临的威胁和风险;对照那样风险,评估控制机制的强度;并与高层管理班子就那些评估达成共识。 此外,IANS衡量CISO在多大程度上将该信息与来自公司遇到的事件的数据联系起来,衡量它们是否对该数据建模、开发预测模型。IANS还密切分析了公司是否验证了那些预测模型,它们是否开发了一种规划工具,以便CISO用来帮助识别新的业务项目面临的潜在风险。 第二个因素:让业务领导人负责风险。 IANS表示,CISO部门是为了帮助高层管理班子管理信息安全风险而设立的。但是CISO部门无法“负责”所有风险。 新的业务项目带来了新的风险;相比CISO负责所有的信息安全风险,让业务负责人管控那些风险、并让他们对此负责有助于带来更高效的交互、更及时的风险评估。 第三个因素:把信息安全融入到关键的业务流程。 这个因素着眼于CISO和团队在多大程度上把信息安全风险评估融入到重要流程中,而这些流程带来了新的应用程序、系统、产品、市场玩家、依赖第三方的托管服务或云部署。 ISC-Squared的抽样对象在选择厂商方面做得很好。把安全融入厂商选择意味着,向法务部门和采购部门提供信息安全信息,那样它们知道在与新厂商签署合同时提什么样的问题。就ISC-Squared的抽样对象而言,如果厂商想把产品卖给其企业,信息安全肯定是考虑标准的重要部分。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号