不同的安全标准和框架的核心内容都是相似的,但更重要的是要理解安全计划都具有不断循环的生命周期,这是因为需要周期性对其进行评估和改进。任何阶段的生命周期都可用不同的方式描述。通常使用下面的步骤:
(1)计划和组织
(2)实施
(3)操作和维护
(4)监测和评估
下面提供每个阶段的主要工作任务。。
计划和组织
确认管理承诺
创建监督指导委员会
评估业务驱动要素
建立组织的威胁配置文件
进行风险评估
在业务、数据、应用程序及基础架构层面建立安全架构
确定每个架构层面的解决方案
获得管理层的批准后,按计划推进
实施
分配角色和职责
设计和实现安全策略、措施、标准、基线和指南
识别静止状态和传输状态的敏感数据
实现下列蓝图:
资产识别和管理
风险管理
脆弱性管理
合规性
身份管理和访问控制
变更控制
软件开发生命周期
业务连续性计划
安全意识宣贯、培训和教育
物理安全性
事件响应
每个蓝图的实现解决方案(管理性、技术性和物理性控制措施)
为每个蓝图开发审计和持续监测解决方案
为每个蓝图建立目标、服务水平协议(SLA)和度量指标
操作和维护
遵循工作程序,以确保在每个已实现的蓝图中满足所有基线
执行内部和外部审计
开展每个蓝图所述的任务
管理每个蓝图的服务水平协议(SLA)
监测和评价
审查日志、审计结果、收集的度量值和每个蓝图的服务水平协议(SLA)
评价每个蓝图的目标完成情况
指导委员会季度汇报会议
制定改进步骤,并融入计划和组织阶段
如果安全计划和安全管理没有设定生命周期,那么组织只是像对待普通项目那样对待安全计划。任何项目都有开始日期和结束日期,在到达结束日期时每个资源都被重新分配到其他项目中。许多组织都雄心勃勃地启动安全计划,但由于没有设定正确的生命周期以确保安全管理的持续进行和不断改进,结果造成多年来不停地启动和停止。重复性的工作花费比本应该的工作花费多很多,而效果却不断降低。
