系列文章
本系列文章共分为5篇,本文接上一篇文章,如欲了解前情,可点击以下链接进行回顾
第四篇和第五篇主要为组织安全运营所需过程能力
六、过程能力建设
过程能力建设是一个长期持续的过程,需要在组织内持续性的落实安全的相关制度和流程,并基于组织的业务变化和技术发展不断的调整和优化,安全也是一个不断螺旋上升的过程,通过持续对组织内外安全风险的监测,评估组织现有安全控制措施的有效性进行识别和判断,将技术工具与人员能力结合在组织内部的推广落地。
识别:开发组织理解管理过程,识别资产,数据和功能的网络安全风险
保护:制定并实施适当的保障措施,确保提供关键信息基础设施服务
检测:制定并实施适当的活动以确定网络安全事件的发生
响应:制定并执行适当的活动,以便就检测到的网络安全事件采取行动
恢复:制定并实施适当的活动,以维护恢复能力计划并恢复因网络安全事件而受损的任何功能或服务
6.1 识别
6.1.1 安全规划
组织IT规划是在发展战略目标的指导下,在理解组织发展战略目标与业务规划的基础上,诊断、分析、评估组织管理和 IT 现状,优化组织业务流程,结合所属行业信息化方面的实践经验和对最新信息技术发展趋势的掌握,提出组织IT建设的远景、目标和战略。而网络安全与信息化是“一体之两翼 驱动之双轮”,网络安全规划自然与信息化规划密切相关。因此,网络安全规划是在理解组织信息化发展战略和目标的基础上,诊断分析目前组织网络安全现状,结合国家和行业组织安全的管理要求和对最新安全技术发展趋势的掌握,提出一段时间内其网络安全建设的愿景、目标、战略,对网络安全目标和内容进行整体规划,全面系统的指导组织信息安全建设的进程,协调发展的进行信息技术应用,以促进组织信息化战略目标的实现,最终实现组织可持续发展。
网络安全规划作为组织信息化规划的一部分,其常用的规划方法如下:
在识别组织网络安全规划的过程中,需从不同的维度遵循以下原则:
时间特性维度
网络安全规划涉及组织以往网络安全成果、目前网络安全现状以及未来网络安全的发展方向。因此从时间维度看,识别网络安全规划需要站在过去、现在和未来三个时间点进行考虑。
组织内外部环境维度
网络安全规划涉及的是组织网络安全工作的发展方向,因此识别过程必须全面分析掌握组织内部发展环境,包括业务发展趋势、信息技术发展趋势,组织所面临的机遇与挑战等。对外部环境而言,网络安全的发展趋势日新月异,行业发展趋势也随之变化,行业内领先组织的最佳实践和发展方向无疑是最佳参考。
业务需求关联维度
组织网络安全最终保障的是各项业务能够顺利安全开展。因此,识别组织安全规划需在组织业务发展战略的指导下进行,紧紧围绕保障业务开展为核心目标。
6.1.2 安全策略
安全策略是一组规则,它们定义了一个组织要实现的安全目标和实现这些安全目标的途径。安全策略可以划分为两个部分,问题策略和功能策略。问题策略描述了一个组织所关心的安全领域和对这些领域内安全问题的基本态度。功能策略描述如何解决所关心的问题,包括制定具体的各项策略。
在识别组织安全策略的过程中,需要识别一下内容:
安全方针:安全方针指组织能够依据业务要求和相关法律、法规提供安全管理指导和支持,识别内容包括管理者承诺、安全管理方法、整体目标和范围、控制目标和控制措施的框架;重要安全策略、原则、标准和符合性要求说明;安全管理的一般和特定职责定义等。
安全组织:识别组织管理框架,包括内部组织和外部组织,内部组织包括管理承诺、安全协调、安全职责分配、设施授权过程、保密性协议、与政府部门的联系、与特定利益集团的联系以及独立审计等内容,外部组织包括与外部各方相关风险的识、处理外部各方协议中的安全问题等要求。
人力资源管理:识别组织在人员任用之前、任用中、任用终止或变化的要求。
资产管理:识别包括组织资产管理和信息分类相关的要求。
访问控制:识别组织访问控制的业务要求、用户访问管理、用户职责、网络访问控制、操作系统访问控制、应用和信息访问控制、移动计算和远程工作等要求。
密码学:识别住址使用密码控制的策略、密钥管理等要求。
物理和环境安全:识别组织安全区域和设备安全等要求。
操作安全:识别组织操作规程、恶意软件防护、备份、日志和监视、运行软件的控制、技术脆弱性管理、信息系统审计等要求。
通信安全:识别组织网络安全管理、信息传递等要求。
信息系统获取、开发和维护:识别组织信息系统的安全要求、开发和支持过程中的安全、测试数据等要求。
供应商关系:识别包括组织供应商关系的信息安全、供应商服务交付管理等要求。
安全事件管理:识别组织信息安全事件和改进的管理要求。
业务连续性管理:识别组织信息安全连续性、冗余等要求。
符合性:识别组织符合法律和合同要求、信息安全评审要求。
6.1.3 资产管理
资产管理的过程就是将组织的业务工作这个抽象的概念逐步分解成定性、定量的资产安全性分析,或者说将组织的业务安全映射成资产的安全,使得我们能够科学的把握组织的业务安全需求及其变化。资产管理是通过资产测绘工具,由组织安全运营人员对组织的资产进行分类,进而确定组织战略、业务对资产的依赖程度,标记出资产重要性等级,并在资产发生变化时能够及时发现,调整其安全保护级别。
资产分类
根据GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》中资产识别的描述,可将资产分为数据、服务、信息系统、平台或支撑系统、基础设施、人员管理等。在实际工作中,具体的资产分类方法可以根据组织的具体要求灵活把握。
资产赋值
资产管理不能从资产的原始价格角度进行管理,应从资产安全价值的角度进行分析,赋予每个资产在安全维度的价值属性,安全运营团队应从业务的角度关注组织的资产,在资产分类的基础上,组织需要建立资产与业务战略的映射起关系,进而对对资产进行赋值。一般而言,通过对资产的保密性、完整性和可用性三个最基本的安全属性进行赋值,结合业务战略对应关系,进而确定资产的重要程度级别。
资产持续监控
资产管理的信息初始化建设很重要,但资产基线建立后的变更识别维护过程,是一个更加重要的持续性过程,资产持续监控是安全运营团队利用资产测绘工具,依据已知资产分类和重要程度级别,进行全网资产侦测,识别全网全量资产,同时进行高频度的资产状态监测。依据资产更新状态,采用周期性监测的方式自动化梳理资产,基于业务视角对资产进行可视化管理,将安全风险与资产进行深度关联,建立完善的资产生命周期管理流程。
6.1.4 风险管理
风险管理是任何组织的基本任务,它希望合理地意识到风险,如果不加以识别或监测,可能导致意外损失,甚至威胁到组织的生存。风险管理的目的是识别可信的威胁,并决定如何应对这些威胁。使用有效风险管理流程的组织经历的安全事件较少;那些确实发生的安全事件影响较小,并且组织已做好处理这些事件的准备。
风险管理是网络安全运营能力建设的基石,用于识别风险、了解其发生的可能性和对组织的潜在影响、根据既定的决策标准对这些风险做出决策,并衡量长期趋势分析和向管理层报告的安全和风险的关键属性。风险管理提供关键信息,使安全运营人员能够以最大可能降低风险的方式对资源进行优先排序。
风险管理是一种周期性的迭代活动,用于获取、分析和处理风险。根据GB/T 24364-2009 《信息安全技术 信息安全风险管理指南》中的描述,风险管理过程由一组结构化的活动组成,这些活动使组织能够系统地管理风险。与其他业务流程一样,风险管理流程因组织而异,但通常由以下活动组成:
背景建立阶段:确定风险管理的对象和范围,对涉及业务信息、文档等进行相关信息的调查分析,并准备风险管理的实施。
风险评估阶段:根据风险管理的范围识别资产,分析业务系统所面临的威胁以及脆弱性,结合采用安全控制措施,对组织所面临的风险进行综合判断,并对风险评估结果进行等级划分。
风险处理阶段:综合考虑风险控制的成本和风险造成的影响,从技术、管理、运维层面分析组织的安全需求,提出实际可行的安全措施。明确组织可接受的风险程度,采取接受、降低、规避或转移等控制措施。
批准监督阶段:包括决策和持续监督两部分。依据评估的结果和处理措施,判断能否满足组织的安全要求,决策层决定是否认可风险,并对业务相关环境的变化进行持续监督。
监控审核和沟通咨询贯穿于上