企业信息安全模型(成熟度模型)
0x00 背景?
? ? ?對于今天高度依賴信息競爭力的企業來說,信息安全的重要性已經無需多言但是,隨著信息安全市場技術創新的不斷加速,新的威脅、技術和方法不斷涌現,信息安全人才和專業服務相對匱乏,這些都為企業的信息安全策略制定帶來了困惑。
? ? ?信息安全成熟度模型能夠幫助企業快速找到信息安全短板并制定有針對性的策略,加速將信息安全融入企業文化,提升企業“安全競爭力”。
0x01?CMMI V2.0 模型
? ?為了應對不斷變化的全球化商業格局的挑戰,CMMI?DEV?V2.0將通過標桿對比幫助企業建立并提高關鍵能力以提高企業績效。它是一套經過驗證的全球最佳實踐,旨在優化不斷變化的全球環境中的業務性能,幫助組織建立解決最常見業務挑戰的關鍵能力并設定相應基準,包括:設計和開發產品
CMMI V2.0 關鍵改進
1. 改進業務性能:業務目標直接與運營相關聯,以便在時間、質量、預算、客戶滿意度和其他關鍵驅動因素方面實現可度量的性能提升。
2. 利用當前的最佳實踐:CMMI V2.0 是經驗證最佳實踐的可信來源,將不斷更新以反映新在線平臺上不斷變化的業務需求。
3. 構建敏捷彈性和規模:直接指導如何增強使用 Scrum 的敏捷項目的過程,并注重性能。
4. 提高基準評估的價值?新的績效導向評估方法提高了基準評估的可靠性和一致性,同時縮短了準備時間和生命周期成本。
5. 加速采用? 通過在線訪問和應用指南,比以往更加容易獲得 CMMI 的優勢。
相關文檔:鏈接:https://pan.baidu.com/s/1264cAjIfnYLJzCYtCz-smg?提取碼:mkqf
0x02? 信息安全能力成熟度模型(IS-CMM)的建構
? ? 在能力成熟度模型(CMM)的基礎上提出“信息安全能力成熟度模型”(IS-CMM)這一構想,并著重探討了IS-CMM各級中的核心
流程域KPAs的構建。IS-CMM ( 將信息安全流程實施的全部生命周期 不同于信 息安全開發中的生命周期)分為4 個相對獨立的階段:預防 (Prevention);監測(Monitoring);修正(Amendment) ;更新 (Revision) 。一個或數個機構的信息安全流程環境被定義為總體信息安全流程(TotalInformation Security Processes,簡稱TISP),內容包括
- 第一級:無控制級 ; (Uncontrolled Level)
- 第二級:控制級 ; (Controlled Level)
- 第三級:定義級 ; (Defined Level)
- 第四級:定量級 ; (Quantified Level)
- 第五級:預防級 。
相關文檔:鏈接:https://pan.baidu.com/s/17paabkT3faI8T34Ut5LQHw?提取碼:sm66
0x03 OWASP SAMM(軟件保證成熟度模型)
? ? ?軟件保證成熟度模型(SAMM) 是一個開放的框架,用以幫助組織制定并實施針對組織所面臨來自軟件安全的特定風險的策略。由SAMM提供的資源可作用于以下方面:
?評估一個組織已有的軟件安全實踐;
?建立一個迭代的權衡的軟件安全保證計劃;
?證明安全保證計劃帶來的實質性改善;
?定義并衡量組織中與安全相關的措施。
? ? ? 在最高等級上, SAMM設置了四種關鍵業務功能。 每種業務功能(在下文中列出)是一組軟件開發過程中具體細節的相關措施;換句話說,任何涉及了軟件開發的組織,必須在一定程度上實現每一個業務功能。
? ? 對于每一個業務功能, SAMM設置了三個安全措施。 每個安全措施(在下頁中列出)是一個與安全相關的措施的領域,以為相關業務功能建立保證。 所以,從總體來說, 這十二個安全措施都是改進軟件開發業務功能的獨立部分。
? ? ?對于每一個安全實踐, SAMM設置了三個成熟度等級作為目標。 安全實踐中的每個等級, 通過設置特定的活動和比先前等級更加嚴格的成功指標, 設定了一個更加復雜的目標。此外,每個安全實踐可被獨立改善, 雖然相關的措施可導致優化。
相關文檔:鏈接:https://pan.baidu.com/s/1zwZpxT58hhE9lLjhc4RLRw?提取碼:09bg?
?
0X04 微軟SDL (安全開發生命周期)
? ? ? Microsoft SDL在開發過程的所有階段都引入了安全性和隱私注意事項,從而幫助開發人員構建高度安全的軟件,解決安全合規性要求并降低開發成本。Microsoft SDL中的指南,最佳實踐,工具和過程是我們在內部使用以構建更安全的產品和服務的實踐。自2008年首次共享以來,在新場景(例如云,物聯網(IoT)和人工智能(AI))方面的不斷積累的經驗,我們對實踐進行了更新。
相關文檔:鏈接:https://pan.baidu.com/s/1NvbzczMSsEVbEjUooLiCJw?提取碼:zyj5?
?
0x05 數據安全能力成熟度模型
? ? ?國標信息安全技術 ?數據安全能力成熟度模型 GB_T 37988-2019提出組織數據安全能力的成熟度模型架構,規定了數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全、通用安全的成熟度等級要求。
? ? ?從數據安全過程的維度,進行劃分等級,主要是5個等級:1級:非正式執行;2級:計劃跟蹤;3級:充分定義;4級:量化控制;5級:持續優化。
? ? 由于各組織機構在業務規模、業務對數據的依賴性以及組織機構對數據安全工作定位等方向的差異,組織機構對模型的使用應“因地制宜”。
? ? ?使用模型時,組織機構應首先明確其數據安全能力的目標成熟度等級。 根據對組織機構整體的數據安全能力成熟度等級的定義,見5.3,組織機構可以選擇適合自己業務實際情況的數據安全能力成熟度等級目標。 本標準定義的數據安全能力成熟度等級中,3級目標適用于所有具備數據安全保障需求的組織機構作為自己的短期目標/長期目標,具備了3級的數據安全能力則意味著組織機構能夠針對數據安全的各方面風險進行有效的控制。
? ? ?然而,對于業務中尚未大量依賴于大數據技術的組織機構而言,數據仍然傾向于在固有的業務環節中流動,其數據安全保障的需求整體弱于強依賴于大數據技術的組織機構,因此其短期目標可先定位為2級,待達到2級的目標之后再進一步提升到3級的能力。
? ? ?在確定目標成熟度等級的前提下,組織機構根據數據生存周期所覆蓋的業務場景挑選適用于組織機構的數據安全 PA。 例如組織機構 A 不存在數據交換的情況,因此數據交換的 PA 就可以從評估范圍中剔除掉。
? ? ? ?最后,組織機構基于對成熟度模型內容的理解,識別數據安全能力現狀并分析與目標能力等級之間的差異,在此基礎上進行數據安全能力的整改提升計劃。 而伴隨著組織機構業務的發展變化,組織機構也需要定期復核、明確自己的目標成熟度等級,然后開始新一輪目標達成的工作。
相關文檔:鏈接:https://pan.baidu.com/s/1FcJ0bP8e6l4MYJk7gfgCzA?提取碼:lrby?
0x06??構建安全成熟度模型 (BSIMM)
?構建安全成熟度模型 (BSIMM) 是一種數據驅動的模型,采用一套面對面訪談技術開展 BSIMM 評估,唯一目標就是觀察和報告。企業通過參與 BSIMM 的評估,不僅可以更加具體的了解自身 SSI 的執行情況,還可以從行業視角明確所處的具體位置。
?????BISMM 模型,是一把衡量企業在軟件開發階段構建軟件安全能力的標尺。BSIMM 軟件安全框架(SSF)包含四個領域 — 治理、 情報、 SSDL 觸點和部署。反過來,這四個領域又包括 12 個實踐模塊,這 12 個實踐模塊中又包含 119 項 BSIMM 活動。
相關文檔:鏈接:https://pan.baidu.com/s/1u2d5l9Co_8A3Vx875okuAg?提取碼:hfb4
0x07?其他安全模型
著名安全博客KrebsonSecurity推薦了兩個企業信息安全成熟度模型并進行了點評如下
1.?Enterprise Strategy Group信息安全成熟度模型
ESG將企業信息安全成熟度劃分為基礎、進階和高級三大類,同時為企業首席信息安全官給出了安全規劃和策略路徑。值得注意的是,ESG認為數據泄露等安全事故也有著積極的意義,通常重大數據泄露事故會刺激企業的信息安全成熟度提升到下一個階段。
2.?Blue Lava的信息安全成熟度模型
Blue lava將企業信息安全成熟度劃分為“防御與處理”、“合規驅動”和“基于風險的安全方法”三大類和五個階段:
第一階段:信息安全流程缺乏組織,或者非結構化,個體的成功經驗無法復制和重現,也無法擴展推廣,主要原因是流程缺乏定義和文檔。
第二階段:信息安全進入可重現階段,一些基本的項目管理技術成型并可重用,這基于信息安全流程已經定義、建立并文檔化。
第三階段:信息安全工作的重點是文檔化、標準化和維護運營支持。
第四階段:企業通過數據采集和分析來監控和管控自身的信息安全流程。
第五階段:這是一個迭代階段,企業通過對現有流程和新流程的監控和反饋來持續改進信息安全流程。
Blue Lava信息安全成熟度模型的優點是可以為所有的企業定制使用,企業可以將每個業務部門建立自己的成熟度積分體系,例如下圖中的SDLC(安全開發生命周期)和PMO(項目管理部),圖中紅色塊是企業業務部門最迫切需要提升的安全短板。
?
歡迎大家分享更好的思路,熱切期待^^_^^ !
總結
以上是生活随笔為你收集整理的企业信息安全模型(成熟度模型)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 真希望永远用不到这些代码
- 下一篇: 计算机专业录取分数及大学排名,计算机专业