信息安全经理为其组织内涉众所做的许多演示都包括以一种或另一种形式描述生命周期,以强调信息安全不是一次性项目, 而是一个持续的活动. 然而,这些描述往往侧重于 什么 你做(例如) NIST网络安全框架:识别-保护-检测-响应-恢复)或 如何 你去做(如戴明循环:计划-执行-检查-行动).
与这些生命周期模型一样有用, 他们通常不会像预期的那样引起观众的共鸣, 因为他们没有给出原因 为什么 我们做信息安全. 市场营销专家会告诉你,你需要从 为什么 把你的信息传达出去. 只有 为什么 给利益相关者目标并激励他们采取行动.
下面,我将介绍信息安全的战略生命周期,重点关注 为什么. 这个循环提供了通用的目标,可以很容易地适应任何组织的需要. 它包括以下五个步骤:
- 获得可见性. 为了便于根据组织的风险情况做出明智的风险处理决策, 尽可能获得最准确和完整的风险相关信息是必要的. 当您刚开始担任组织的信息安全经理时尤其如此. So, 首先,您需要获得对信息资产(包括影子IT)的可见性。, 威胁, 漏洞, 安全事故, 控制效果. 此信息可作为风险评估、度量和kpi的输入.
- 提高风险意识. 一旦获得能见度, 将收集到的信息以正确的形式和可操作的见解传达给不同的目标群体是很重要的. 最终用户需要知道他们的工作环境中最常见的威胁,以及如何解决这些威胁. 高级管理人员等决策者必须接收优先级和定制的风险信息,以建立对信息安全的承诺,并做出最适当的业务决策.
- 优化风险. 风险处理决策必须在以合理的成本将风险降低到可接受的水平和启用业务机会之间取得适当的平衡. 通过在前面的步骤中提供相关信息和提高风险意识水平, 我们已经为实现这一目标奠定了基础. 风险优化是 的 每个信息安全计划的中心目标.
- 增加弹性. 风险处理很可能导致新的或增强的安全控制,这将有助于使组织更有弹性地应对安全事件. 其目标是在诸如网络攻击等不利事件发生的情况下,维持组织持续交付预期结果的能力. 为了实现这个目标, 组织必须能够迅速识别不断变化的风险条件, 适当地作出反应,并从中断中迅速恢复.
- 保持合规. 除了在面对不断变化的威胁时增强复原力之外, 组织必须监视并维护内部和外部法规的遵从性. 如今,大多数组织还必须满足信息安全方面的法律要求, 例如由资料保护法例引起的问题.
在这一点上,循环再次从头开始. 例如, 新的和增强的安全控制可能会进一步提高可见性, 从而揭示新的风险信息, 这反过来又会改变风险与回报之间的最佳平衡. 不用说,各个步骤并不遵循严格的时间顺序,但经常重叠.
这个战略生命周期——你的信息安全计划的原因——将有望成为你的沟通工具集的一个有价值的补充.
