1铭记初心,实现自我安全治理概述•管理VS.治理•企业治理VS.IT治理VS.安全治理•安全治理•管理(Management):管理者为了达到特定目的而对管理对象进行的计划、组织、指挥、协调和控制的一系列活动•治理(governance):治理是或公或私的个人和机构经营管理相同事务的诸多方式的总和。•企业治理:是一套程序、惯例、政策、法律及机构,影响着如何带领、管理及控制公司。•IT治理:IT治理是一种引导和控制企业各种关系和流程的结构,这种结构安排,旨在通过平衡信息技术及其流程中的风险和收益,增加价值,以实现企业目标。•安全治理:安全治理与企业和IT治理密切相关,而且经常交织在一起。这三种治理的目标一般是相同或相关的。安全治理经常放在一个层级较高的层面,是一套安全解决方案和相互紧密联系的管理方。安全治理监督和涉及所有的安全相关层面,不仅仅是IT,其目标是为了保障业务的持续运行和向更好的方向发展。2铭记初心,实现自我企业管理层在安全治理方面关注什么?•设定策略和战略的方向•提供安全活动资源•指派管理责任•设定优先级•支持必须的改变•定义与风险评估相关文化•从内外部审计获取保障•坚持安全投资被度量和听取项目有效性的汇报3铭记初心,实现自我安全专业人员在安全治理方面关注什么?•安全专业人员要认识到:组织的愿景、任务和目标组织在其生命周期中的安全问题安全角色和责任信息安全策略法律、法规和道德•安全专业人员要做哪些工作:建立完整、有效的安全规划开发和执行信息安全策略建立业务连续性和灾难恢复计划人员安全管理信息安全风险管理安全专家需要和管理层建立联系,以确保安全目标的实现。4铭记初心,实现自我安全管理计划•为什么要做安全管理计划•建立安全管理计划的流程1.公司安全的使命和目标3.安全现状4.关键举措和重点工作2.安全体系总体框架5.实施策略选择6.工作计划7.建设实施8.安全运营和持续改进为什么要做安全管理计划?安全管理计划能确保安全策略的适当创建、实现和实施。安全管理计划将安全功能与组织的战略、目标、任务和愿景相结合,这包括根据商业论证、预算限制或稀缺资源设计和实现安全性。解决安全管理计划编制的最有效方法是采用自上而下的方式。安全管理计划编制的元素包括:定义安全角色;规定如何管理安全性、谁负责安全性以及如何测试安全性的效力:开发安全策略;执行风险分析;以及要求对员工进行安全教育。安全管理计划必须得到高级管理者的支...
