怎样寻找差距?
最高管理层(董事会)和管理执行层可以使用信息安全治理成熟度模型建立组织的安全级别。该模型被应用为:
一种自评估等级的方法,确定组织处于哪个级别;
一种使用自评估结果设定将来发展目标的方法。这个目标是根据组织希望处于等级表的哪个级别,上一级别哪些是不必要的;
一种规划达到目标的项目的方法。这个规划是基于当前状况和这个目标的差距分析的;
一种确定项目优先次序的方法。有限次序的确定是根据项目类别和其投资受益率;
IT安全是业务管理者和IT管理者的共同责任,它被统一到公司安全管理目标中;IT安全需求被清晰定义,优化并包括于经核实的安全计划中;安全职责在应用软件的设计阶段就被考虑,终端用户负有更多的管理安全的责任;IT安全报告提供变化和出现的风险的早期警告;自动监控关键的系统;利用由自动化的工具支持的正式的事故响应程序快速处理事故;定期的安全评估,以评价安全计划执行效果;系统地收集和分析新的威胁和隐患信息,及时通知并实施恰当地补救措施;入侵测试、安全事故的深层原因分析和预先发现风险是持续改进的基础;在组织范围内集成的安全程序和技术;
持续服务计划和业务持续性计划被集成,调整,并得到日常的维护;购买的持续服务必须得到厂商和主要提供商的安全保证。
概述起来,信息安全治理成熟度模型方法和其它成熟度模型一样,具有以下几个方面的优点或作用:
信息安全治理成熟度模型涉及信息安全和业务需求的各个方面,是一种进行实用性比较的等级制,能以简单方式测定差异,有助于确定有关信息技术管理和安全性方面的相对水平。
使管理部门相对容易地依据等级制对自己定位,并找出需要改善安全管理的地方。组织对自身进行差距分析以确定需要做哪些工作来达到所选级别。0-5等级是基于一个简单的成熟性量度,体现出一个处理如何从不存在级发展到优化级的管理过程,增加成熟度意味着增强风险管理与提高管理效率。
信息安全治理成熟度是测量安全管理处理等级的一种方法,这些等级正是一个给定的信息安全管理处理的惯例,体现各个成熟层次的典型模式,有助于组织将主要精力投入到关键的管理方面。
信息安全治理成熟度模型等级有助于专业人员向管理层解释信息安全管理存在的缺陷,并把他们组织的控制惯例与最佳惯例对照起来,从而确定组织的未来发展目标。
我们认为信息安全治理成熟度模型将有助于解决以下在IT部门中普遍存在的问题:
在竞争如此激烈的市场环境中,您的公司或部门在信息安全上处于什么水平?
如果您认为有差距,究竟差在哪里?如何去改进?
如果您觉得运作良好,那么您能说出好在哪里?好到何种程度?
如何对信息安全管理进行绩效评估?
对于上述问题,如果您觉得有必要拿出一个量化的答案,以助于提升组织的信息安全,那么本文所介绍的信息安全管理评估工具就是一个很好的方法。
-
没有关键字相关信息!
- 信息系统运维预算定额参考标准研究[04-09]
- 第2章 跨文化管理理论和实践[01-14]
- 16:什么是关键成功因素法(CSF)?[06-09]
- 24:eSCM-SP(服务提供商外包能力模型)有哪些…[06-10]
- 第4章 跨文化沟通[01-14]
- 治理评论第一期[01-20]
- 治理评论第六期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]
