信息安全治理学习笔记一

最新推荐文章于 2024-11-14 14:43:49 发布
最新推荐文章于 2024-11-14 14:43:49 发布
阅读量1.8k 收藏
点赞数
分类专栏: 信息安全 文章标签: 框架 活动 测试 任务 审查 出版
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/edwardhyl/article/details/5772172
版权
信息安全治理关注最高管理层如何监督信息安全战略,确保与业务目标一致。它与信息安全管理不同,后者涉及具体的运营和保障措施。良好的治理包括战略与业务一致、价值交付、风险管理以及绩效评估。实现良好治理需清晰职责、风险管理和绩效衡量。此外,成熟度模型和国际标准如ISO 17799、CoBIT等为组织提供了评估和改进的框架。
摘要由CSDN通过智能技术生成

1、引论

1.1 信息安全治理及信息安全管理的含义

信息安全治理是指最高管理层(董事会)用来监督管理层在信息安全战略上的过程、架构及与业务的关系,以确保信息安全战略与组织的业务目标一致。它不同于信息安管理。

信息安全管理提供管理程序、技术及保证措施,使业务管理者确信业务交易的可信性;确保信息技术服务的可用性,能适当地防御不正当操作、蓄意攻击或者自然灾害,并从这些故障中尽快恢复;确保拒绝未经授权的访问。信息安全管理是公司的信息及信息系统的安全运营,确定IT目标以及实现此目标所采取的行动。

1.2 信息安全治理及信息安全管理的关系

信息安全治理是一种基础制度安排,如果缺乏健全的制度安排,不可能有很好的信息安全管理;同样,没有有效的信息安全管理,单纯的治理机制也只能是一个美好的蓝图,而缺乏实际的内容。

1.3 良好的信息安全治理的特点

(1)安全战略与业务战略的一致

l 业务需求驱动安全需求;

l 安全架构适应业务流程;

l 信息安全投资与企业战略和最大风险状况密切相关。

(2)交付价值

l 一系列安全实务标准,如最佳安全实务基准;

l 正确排序,将资源优先分配给具有大影响和商业利益的地方;

l 规范的、商业化解决方案;

l 完整的解决方案,包括组织、流程和技术等;

l 持续改进的文化。

(3)风险管理

l 资产识别与估价

l 脆弱性、威胁的识别与评价

l 风险评估

l 风险控制与管理

(4)绩效评估

l 定义评估准则;

l 反馈评估程序的进展;

l 保证独立性。

1.4 实现良好信息安全治理的方法



最低0.47元/天 解锁文章
edwardhyl
关注
专栏目录
网络安全之安全治理
IT界的无名小卒
02-11 964
网络安全的安全治理是怎样的
网络安全法学习整理笔记
热门推荐
神二娃子的博客
04-08 1万+
网络安全法 一、背景 概念 网络:是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。 网络安全:是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。 网络运营者:是指网络的所有者、管理者和网络服务提供者。 网络数据:是指通过网络收集、存储、传输、处理和产生的各种电子数据。 个人信息:是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自
谈谈信息安全治理模型
weixin_45576679的博客
11-09 559
当我们学习ISO/SAE 21434标准的时候,会看到网络安全治理(Cybersecurity government)和网络安全管理(Cybersecurity management)两个概念。然而该标准并没有给出安全治理和安全管理的十分清晰的定义和描述。即使在安全社区内,似乎也是讲安全管理的多,讲安全治理的少。那到底两个概念是什么?两者的区别和联系又是什么呢?笔者通过调研发现安全治理、安全管理和安全运营具有非常不同的功能,而又紧密联系。本文尝试先对安全治理给出一些论述,希望能为网络安全从业人员有些帮助。
企业信息安全的两个成熟度模型
weixin_34163553的博客
04-28 722
对于今天高度依赖信息竞争力的企业来说,信息安全的重要性已经无需多言,这一点从企业每年不断增加的信息安全预算以及信息安全优先级的不断提升得到体现。但是,随着信息安全市场技术创新的不断加速,新的威胁、技术和方法不断涌现,信息安全人才和专业服务相对匮乏,这些都为企业的信息安全策略制定带来了困惑。一个好的信息安全成熟度模型能够帮助企业快速找到信息安全短板并制定有针对性的策略,加速将...
信息技术安全--风险管理相关笔记
ARUNA_BAO的博客
12-25 332
风险管理关系图 风险评估 1.风险评估指风险分析和风险评价的整个过程 2.通过风险评估识别组织所面临的安全风险并确定风险控制的优先等级从而对其试试有效控制,将风险控制在可接受的范围内 风险分析 1.系统的使用信息来识别风险来源和估计风险 2.目的:将风险分离为可接受的小风险和不可接受的大风险,为风险处置提供数据 3.方法: (1)定性分析:采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及...
信息安全管理与评估_数据安全成熟度评估分析之基础介绍
weixin_39850365的博客
12-04 565
1.评估背景 在数字经济发展的推动下,数据汇聚、融合、流动与应用等场景大幅增加,数据应用技术的复杂性、数据海量汇聚的风险性、数据深度挖掘的隐私安全性都对网络数据安全保护提出新挑战。以安全与信息化为一体之两翼驱动之双轮的核心思想下的建设已逐渐必要化和常态化。近年来,多数组织以围绕数据建业务、保障数据促运营为建设思路,以技术为抓手,以解决短期目标问题(外部合规要求、内部安全需求)为基本原则,进行数据安...
CISM学习笔记信息安全治理策略与实施指南
CISM Learning Note - WaterMark.pdf是一份关于CISM(Certified Information Systems Manager)的学习笔记,专注于信息安全治理(Information Security Governance)。这份笔记详述了信息安全治理的核心概念和实践,...
数据安全法整理学习笔记
神二娃子的博客
04-08 7799
数据安全法 一、内容学习 第一章 总则 目的:规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。 范围:境内数据处理活动;境外数据处理活动但损害华人民共和国国家安全、公共利益或者公民、组织合法权益 定义: 数据:是指任何以电子或者其他方式对信息的记录。 数据处理:包括数据的收集、存储、使用、加工、传输、提供、公开等。 数据安全:是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。 原则:坚持总体
信息安全工程师教程》学习笔记01(第一章)
hunan0528的博客
02-04 683
第一章 信息安全基础 信息安全概念、信息安全法律法规、信息安全管理基础、信息安全标准化知识。 1.1 信息安全概念 1.1.1 信息安全是信息时代永恒的需求 超级计算机、量子计算机、DNA计算机 1448量子位计算机可以攻破256椭圆曲线密码、2048量子位的量子计算机可以攻破1024位RSA密码。我国居民二代身份证是256位椭圆曲线密码。 密码破译的量子计算算法主要有:Grover算...
信息安全能力成熟度模型_IS_CMM_的建构
04-20
信息安全能力成熟度模型
网络安全人士必知的35个安全框架及模型
weixin_51725318的博客
11-04 1139
网络安全人士必知的35个安全框架及模型
10种较流行的网络安全框架及特点分析
xiangxueerfei的博客
01-18 979
网络安全框架主要包括安全控制框架(SCF)、安全管理框架(SMP)和安全治理框架(SGF)等类型。对于那些希望按照行业最佳实践来开展网络安全能力建设的企业来说,理解并实施强大的网络安全框架至关重要。本文收集整理了目前行业已被广泛应用的10种较流行网络安全框架,并对其应用特点进行了简要分析。01CIS关键安全控制(CIS Controls)框架提供了一系列简单的、清晰的、规范化的网络安全防护最佳实践,可用于增强组织的网络安全态势。
CISSP复习笔记-第2章 信息安全治理与风险管理
mvpboss1004的博客
11-13 4461
CISSP复习笔记-第2章 信息安全治理与风险管理2.1 安全基本原则2.1.1可用性(availability) 确保授权的用户能够对数据和资源进行及时的和可靠的访问 措施:回滚、故障切换配置 反面:破坏(destruction) 2.1.2 完整性(integrity) 保证信息和系统的准确性和可靠性,并禁止对数据的非授权更改 措施:配置管理(系统完整性)、变更控制(进程完整性)、访问控制(物理
企业信息安全————3、如何建立企业安全框架
Fly_鹏程万里
05-06 2529
为什么需要企业安全框架一方面,实现业务与技术之间的“沟通”,让相关的业务与安全方面的技术对应起来另一方面,实现模块化管理,让负责某一模块的人员有相关的话题可以谈,同时对于应急响应也可以及时的排查等。企业架构开发模型企业安全控制模型CobiT模型,国际审计协会(ISACA)及治理协会ITGI联合制定目标集。企业架构是组织的,系统架构是计算机组建的计划和组织、获得与实现、交付与支持、监控与评价公司治理...
CISSP第二章 信息安全治理与风险管理
waiwai3的博客
11-20 5546
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
Scring Boot应用开发
只会写bug
11-12 346
Spring Boot 是由 Pivotal 团队提供的全新框架,其设计目的是用来简化新 Spring 应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置,从而使开发人员不必定义繁琐的配置。它主要基于 "约定优于配置"(Convention over Configuration)的原则,这意味着开发人员只需要最少的配置就可以快速启动并运行应用程序。
Go 命名规范、git提交规范
YiGeiGiaoGiao的博客
11-13 420
参考自大佬:https://github.com/Andrew-M-C/code-style-guide/blob/master/file_system/file_system.md本文为自己的学习记录。
02-SpringBoot3Web开发
最新发布
小钟不想敲代码
11-14 831
02-SpringBoot3 Web开发
软件测试基础概念
ceshiren_com的博客
11-14 680
软件测试是评估和验证软件应用程序的重要过程,旨在发现和修复软件的缺陷或错误,从而确保产品的质量。它不仅仅是找bugs,更是确保软件的可靠性、安全性和用户满意度的综合实践。随着测试开发(DevTest)的理念深入人心,测试与开发团队间的合作愈发紧密,自动化测试的普及使得这一过程更加高效。自动化测试是使用软件工具和脚本来自动化执行测试用例的过程,以提高效率和可重复性。通过以上的探讨,我们了解到软件测试不仅仅是一个流程,更是一种保障软件质量与用户体验的艺术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值