企业安全管理实施指南

公司徽标企业安全管理实施指南安全管理大会JuliaH.Allen翻译:樊山第一次校对：贺新鹏第二次校对：Ivyfanfox7405@163.com所属组织•卡内基-梅隆大学：座落于宾夕法尼亚州的匹司堡的一所研究型私立大学•软件工程学院：美国联邦政府资助的研究和开发中心，致力于提高软件工程实践•CERT程序：过渡措施，使知情者能够信任和有信心地使用信息技术，以帮助树立安全地连接世界企业安全管理（GES）实施指南•乔迪·韦斯特比，全球网络风险有限责任公司CEO，卡耐基梅隆大学CyLab的兼职特聘研究员•朱莉娅H.艾伦,卡内基·梅隆大学软件工程研究所，CERT®•2007年8月•技术说明–CMU/SEI-2007-TN-020•CERT程序•版权无限量发行.为什么写实施指南•提高风险监管压力•高级管理人员和董事会关注日益增长的市场需求•需要一个实施的指导•定义：–在整个企业实施的框架–清晰的角色、职责和问责制–可操作的步骤和结果德勤2007年全球安全调查•169家金融机构参与调查•81％已经正式部署了的信息安全管理框架剩下的19％正在建立的过程中信息安全管理引导•信息安全与业务战略的战略调整•实施识别、分析风险流程；减少影响到可接受水平•评估、监控、给高级管理人员提供指标及安全性评估报告•负责业务连续性计划，灾难恢复协作管理定义•董事会和执行管理职责–提供战略方向–确保目标的实现–确定适当的风险管理–确认负责任地使用资源企业管理行动•管理组织的风险与战略配合–保护关键资产•有效利用和保护资源–满足合规性要求•建立在文化和管理为基调的预期行为–确定战略方向、目标和政策•通过有效的控制，指标，执法，评估及审核保证决策的实施–进行系统化的管理企业安全管理•指导和管理企业在其实施流程中（例如企业信念、行为准则、能力要求和操作守则）创建和维护安全文化•企业安全的管理意味着检视安全的充分性要作为业务的一个不可或缺的需求。信息安全管理•建立和维护一个框架和配套管理架构和流程的过程，以确保信息安全策略–支持与业务目标保持一致–遵循政策和内部法规、与适用的法律和法规相一致.–职责分配•管理所有的风险。有效的安全管理的特点•作为一个企业的管理问题–水平，垂直，跨职能•领导责任–可见，自身的风险，定期审计•被看作业务需求–依照目标，政策，遵守行动•基于风险的–合规，业务，声誉，财务–确定容错和审查•角色和职责定义–清晰的职责划分有效的安全管理的特点（续）•处理和执行策略•承诺充足的资源–包括权力法案，以保持竞争力•员工意识和培训–提高认识，动机，符合预期•解决整个系统开发生命周期–收购-收回•计划，管理和测量–产品战略，资本，业务规划及审查周期•董事会专门委员会检查及审计–持续的理想的状态检查有效与无效的管理纳入董事会日常事务中；同时风险/审计委员会积极参与安全行动建立在风险承受能力和全面风险评估的基础上的跨组织团队安全管理信息资产清查，分类，并指派给相应的所有者安全政策，积极监督，执行;领导问责安全计划被定期复查，审计，并持续改进未列入董事会日常事务中；只有出现重大事故后董事会才有可能干涉临时的安全行动安全被视为仅与IT相关，而与业务领导无关没有清单，没有所有权的分配，没有风险评估安全策略只是一个样板;没有全面的计划；当事件发生后领导才会有所行动要解决的挑战与障碍•无处不在的接入和分布式信息–供应链，客户，合作伙伴•安全在企业范围内的本质–连接到企业使命;分布式角色•缺乏一个对策计划–做什么，以什么样的顺序，投资多少•组织结构与职责分工–烟囱，草皮的问题，利益冲突•复杂的全球性的法律要求和风险要解决的挑战与障碍(续)•评估安全风险和危害程度的大小–基于业务目标•不容易量化成本和收益–多少才是足够的？•安全的影响往往是无形的–信任度，信誉度，市场信心•最佳做法和措施部署不一致•很难建立和维持安全文化–领导力和企业的关注度企业安全计划（ESP）风险管理计划企业安全战略企业安全计划业务元安全计划系统安全计划政策及程序系统架构系统互连点法律及网络犯罪方面的考虑评估和审计结果RMP，ESS与风险，威胁，漏洞企业安全计划的输入投资回报率及财务信息企业安全计划安全计划安全政策及程序系统架构REQS事件响应和危机通讯REQS业务连续性和灾难恢复标准，最佳PRAC。＆指导技术方面的考虑和系统的架构工作环境和经营条件文化管理政策商业计划和战略目标数字资产：信息/数据，应用程序，网络管理结构ESP管理职能CEO行政总裁COO首席营运官CRO首席风险官C(I)SO首席（信息）安全官CIO首席信息官CFO财务总监CPO首席隐私官GC总法律顾问BLE业务线高管HR副总裁，人力资源PR副总裁，公共关系董事会风险管理委员会•任务–保护股东/利益相关者的投入–从风险角度保护资产，人，流程，产品，信誉•目标–建立ESP管理结构，分配职责;监督ESP–建立文化和管理的基调–确定风险阈值/容忍度跨组织的团队（X团队）•任务–开发和协调ESP–协调和应对安全风险和安全事故•目标–确保安全风险被解决–确保ESP融入日常事务中–确保数字资产按照计划和战略进行安全管理GES实施指南框架•有序分类和活动–管理–集成和运营–实施与评价–重要规划,评估/审计•颜色编码的作用–红色：管理活动，BRC责任–绿色：X-团队责任–蓝色：其他人员–紫色：指导规则表2-ESP类别，活动，职责/角色，以及文物企业安全计划*类别活动序列RESP/角色工具管理建立管理结构分配角色和责任，指示行的报告开发顶级的政策BRCBRC的使命，目标，目的，及组成X-团队任务，目标和目的与成员组织结构图ESP的角色和职责顶级的政策库存数字资产开发和更新系统说明建立和更新资产的所有权和资产保管指定安全责任和职责分工CSO,BLE,CIO,BM,AOBLE,CSO,CIO,BM,AOCSO,BLE,CIO,BM,AOBRC,CSO资产及系统清单系统说明BLE确定所有权和管理权并由CSO登记库存量详细的安全责任ESP类别，活动，职责/角色，以及文物企业安全计划*类别活动序列RESP/角色工具管理（续）确定、更新合规性要求映射资产到桌面凭据映射和分析数据流程映射《网络犯罪和安全违法通知法律》和《跨境执法合作》到数据量进行隐私影响评估和隐私审核GC,CPO,CSO,BLEGC,CPO,CSO,BLECPO,CSO,BM,AOGC,CSO,CPO,BLECPO,GC,CSO桌面凭据映射资产和凭据映射和分析数据流映射网络犯罪和法律通知和跨境执法隐私影响评估隐私审计报告进行威胁，脆弱性和风险评估（包括系统C＆As）确定业务标准开发和更新安全输入到风险管理计划（PMP）开发和更新企业安全战略BRC,CSO,BLE,BM,OPCABLE,BMBRC,CSO,CPO,CIO,GCBRC,CSO,CPO系统风险评估认证证书操作标准安全输入到风险管理计划企业安全战略企业安全计划*类别活动序列RESP/角色工具融合+操作资产风险的危害程度水平分类确定和更新必要的控制措施确定和更新关键绩效指标及度量BRC,CSO,BLE,CPO,GC,BMBRC,CSO,CPO,BLE,GC,BMBRC,CSO,BLE,CIO,BM,OP资产分类控制分配（系统）关键性能指示器和规则确定和更新的最佳实践和标准确定特定资产的安全配置设置CSO,CIO,CPOCSO被核准的最佳实践和标准的清单（BP＆S）BP＆S的实施报告BP＆S控制和度量的映射资产安全配置设置开发，更新，测试事件响应计划开发，更新、测试危机通信计划BRC,CSO,BLE,CIO,GC,PRBRC,CSOCSOBRC,PR,CSO,CIO,BLEBRC,PR,CSO,CIO,BLEPR,CSO,CIO事件响应计划事件响应计划测试报告事件响应报告危机通信计划危机通信计划测试报告危机通信计划报告企业安全计划*类别活动序列RESP/角色工具融合+操作（续）开发、更新、测试业务连续性、灾难恢复计划开发、更新、验证第三方和供应商需求BRC,CSO,CIO,BLE,BM,OPBRC,CSO,CIO,BLEBRC,CSO,CIO,BLEBRC,CSO业务连续和灾难恢复计划业务连续和灾难恢复计划测试报告第三方组织和供应商对BC/DR,IR,CC的需求第三方组织和供应商验证报告的需求开发和更新变更管理计划CSO,CIO变更管理计划变更管理日志开发和更新企业安全计划企业安全计划BRC认证BRC,CSOCSOBRC企业安全计划ESP更新报告企业安全计划BRC认证开发和更新安全策略和过程CSO,CPO,BLE,HR,GC,PR,BM,OP,AO安全策略和过程开发和更新安全系统架构计划CSO,CIO安全系统架构计划实施+评估开发、更新ESP实施、培训计划实施、培训BRC,CSO,CPO,HR,BLE,PR,CIO,GC,BM,AO,OPCSO,BLE,BM,OP,BRC,CSO,BLE,CSO,HR实施计划、效果培训模式培训计划、时间表培训记录企业安全计划*类别活动序列RESP/角色工具实施+评估(续)监控&执行策略&程序CSO,CC,HR,CPO,BLE,BM监视和执行报告测试与评估系统控制，政策和程序（包括C＆A）CSO,BLE,BM,CA控制，度量，政策及计划的测试评估报告找出系统的弱点和执行纠正措施过程（POAM）CSO,CA,BLE,BMPOAMs程序发证机关（或临时机构）操作BLE认证决定书确定安全的商业案例，投资回报率与资金BRC,CSO,CFOBRCESP安全投资需求及投资回报分析董事会批准的预算资本规划+评估/审计实施ESP的正式评估实施ESP的正式审计BRC,CSO,X-TeamBAC,IA,EA,X-Team年度ESP报告（CSO）年度的ESP审计报告（IA＆EA）在指定的时间间隔重复此过程，有些活动正在进行董事会应该了解的关键问题•确定我们的关键信息资产是什么？•我们要定期进行风险评估吗？•我们所写的安全计划和政策能解决这些风险吗？•我们是否实施了安全计划？是否对其进行了监控？是否有进行常规重新评估？•我们解决员工培训问题了吗？•我们解决第三方信息安全吗？•我们为安全漏洞做好准备了吗？•我们有没有认为安全是我们每天的日常业务的一部分？Smedinghoff，托马斯J.“数据安全的主任责任是董事会应该问的关键性问题。”NACDDirectors月刊，四月2007.欲了解更多信息•企业安全管理–•CERT播客系列：商业领袖的安全性–•ABA隐私和计算机犯罪委员会的报告–打击网络犯罪的国际指南(InternationalGuidetoCombatingCybercrime)–隐私保护的国际指南(InternationalGuidetoPrivacy)–国际网络安全指南(InternationalGuidetoCyberSecurity)–企业安全计划路线图(RoadmaptoanEnterpriseSecurityProgram)欲了解更多信息•JuliaAllen:jha@cert.org•JodyWestby:westby@globalcyberrisk.com