你呢?
但是,如果人们没有正确地遵循流程,那么流程就什么都不是。
第二个支柱是流程
流程是实施有效网络安全战略的关键。它们对于定义如何使用组织的活动、角色和文档来减轻信息风险至关重要。流程也需要不断地评审。
本文是网络安全的三大支柱方法系列文章的第二篇。第一篇文章“网络安全的三支柱方法从人开始”可以找到在这里
三大支柱中的第二个是流程。流程支柱由多个部分组成:管理系统、治理、政策和程序以及管理第三方。为了使流程支柱有效,所有这些部分都必须得到解决。
管理系统是第二个支柱的关键
要加强网络安全战略的第二个支柱,必须建立适当的管理体系。当涉及到网络安全时,组织中的每个人都应该了解自己的职责和责任。对于一个大型和多元化的组织,员工对网络安全的能力和兴趣水平会有很大差异,但一个良好的管理系统可以提高安全意识,增加组织的弹性。如果没有一个明确的管理系统,问题和数据就会被遗漏,使你的整个公司容易受到网络安全问题的影响,甚至包括数据泄露。
企业安全治理活动
治理是公司降低未经授权访问信息技术系统和数据的风险的策略。企业安全治理活动涉及组织的企业风险管理(ERM)和安全政策的开发、制度化、评估和改进。企业安全治理包括确定各业务部门、人员、高管和员工应如何共同努力保护组织的数字资产,确保防止数据丢失并保护组织的公共声誉。
企业安全治理活动应该与组织的法规遵循需求、文化和管理政策相一致。企业安全治理的开发和维持通常涉及执行特定于公司行业的威胁、漏洞和风险分析测试。
企业安全治理是一种公司策略,用于降低公司拥有的实物资产被窃取或损坏的几率。在这种情况下,企业安全治理包括物理屏障、锁、围栏和消防响应系统以及照明、入侵检测系统、警报和摄像机。
愿景与日常运营之间的联系
“策略”是一个预先确定的行动过程,它的建立是为了为公认的业务战略和目标提供指导。换句话说,它是一个组织的“愿景”和他们的日常运作之间的直接联系。政策确定关键活动,并在出现问题时向决策者提供如何处理问题的一般战略。这是通过为读者提供限制和替代选择来实现的,可以用来指导他们在试图克服问题时的决策过程。政策可以被认为是一个地球,国家边界、海洋、山脉和其他主要特征很容易被识别。
每个程序的目标都是为读者提供执行或实施策略所需的清晰和易于理解的行动计划。一份写得很好的工作流程也有助于消除常见的误解,因为它可以明确工作职责,为工作人员建立界限。良好的程序可以让管理者提前控制事件,防止组织(和员工)犯代价高昂的错误。您可以将流程视为路线图,其中突出显示行程细节,以防止人员迷失或“偏离”公司管理团队确定的可接受路径。
管理第三方
第三方管理通常被称为供应商管理。它是一种纪律,使组织能够控制成本,推动卓越服务和降低风险,以在整个交易生命周期中从供应商那里获得更高的价值。
在选择合作供应商时,您必须确保他们满足您公司所要求的相同级别的网络安全。许多公司的数据泄露都是由供应商被黑客攻击引起的,攻击者可以访问他们的系统。美国大型零售商塔吉特就是一个例子。他们大规模的数据泄露是因为他们的供暖、通风和空调(HVAC)承包商首先被黑客入侵。黑客利用暖通空调供应商访问塔吉特的网络,并能够访问他们的最终目标,销售点的机器。这次攻击说明了管理供应链风险的重要性。
网络安全的最后一个支柱是数据和信息。这将在本系列的第三篇也是最后一篇文章中讨论。