本文講的是 企業資訊安全的兩個成熟度模型,對于今天高度依賴資訊競争力的企業來說,資訊安全的重要性已經無需多言,這一點從企業每年不斷增加的資訊安全預算以及資訊安全優先級的不斷提升中得到展現。但是,随着資訊安全市場技術創新的不斷加速,新的威脅、技術和方法不斷湧現,資訊安全人才和專業服務相對匮乏,這些都為企業的資訊安全政策制定帶來了困惑。
一個好的資訊安全成熟度模型能夠幫助企業快速找到資訊安全短闆并制定有針對性的政策,加速将資訊安全融入企業文化,提升企業“安全競争力”。
近日著名安全部落格KrebsonSecurity推薦了兩個企業資訊安全成熟度模型并進行了點評如下:
一、Enterprise Strategy Group資訊安全成熟度模型。
ESG将企業資訊安全成熟度劃分為基礎、進階和進階三大類,同時為企業首席資訊安全官給出了安全規劃和政策路徑。值得注意的是,ESG認為資料洩露等安全事故也有着積極的意義,通常重大資料洩露事故會刺激企業的資訊安全成熟度提升到下一個階段。
二、Blue Lava的資訊安全成熟度模型
Blue lava将企業資訊安全成熟度劃分為“防禦與處理”、“合規驅動”和“基于風險的安全方法”三大類和五個階段:
第一階段:資訊安全流程缺乏組織,或者非結構化,個體的成功經驗無法複制和重制,也無法擴充推廣,主要原因是流程缺乏定義和文檔。
第二階段:資訊安全進入可重制階段,一些基本的項目管理技術成型并可重用,這基于資訊安全流程已經定義、建立并文檔化。
第三階段:資訊安全工作的重點是文檔化、标準化和維護營運支援。
第四階段:企業通過資料采集和分析來監控和管控自身的資訊安全流程。
第五階段:這是一個疊代階段,企業通過對現有流程和新流程的監控和回報來持續改進資訊安全流程。
Blue Lava資訊安全成熟度模型的優點是可以為所有的企業定制使用,企業可以将每個業務部門建立自己的成熟度積分體系,例如下圖中的SDLC(安全開發生命周期)和PMO(項目管理部),圖中紅色塊是企業業務部門最迫切需要提升的安全短闆。
原文釋出時間為: 四月 27, 2015
本文作者:zeon
本文來自雲栖社群合作夥伴安全牛,了解相關資訊可以關注安全牛。