管理企业安全实施指南(GES)1.pdfVIP

企业安全管理实施指南(GES ） 第1 章：有效的安全治理的特点1 Governing for Enterprise Security (GES) Implementation Guide Article 1: Characteristics of Effective Security Governance Julia H.Allen，卡内基·梅隆大学软件工程研究所，CERT® Jody·R. Westby，全球网络风险有限责任公司的CEO，卡耐基梅隆大学CyLab实验室 兼职特聘研究员 February 2007 CERT和CERT协调中心是在美国专利和商标局注册 Copyright 2007 Carnegie Mellon University 翻译：樊山 校对审核：贺新朋 2013-02 摘要：本文是设置实施管理安全实施指南系列的阶段。它首先提出了几个关键的定 义：企业治理、IT 治理和安全治理。它描述了11 个特征，旨在回答这个问题：“如 果我看到了，我怎么会知道是否是有效的安全治理？”文章接着进行比较和对比有 效和无效的安全治理行动，然后介绍领导人需要预见和处理的十个关键挑战。 介绍 11 个有效的安全治理的特点 有效与无效的安全治理 落实企业安全计划面临的十大挑战 结论 引言 本文（本系列的后续文章中）是建立在企业治理和IT治理定义的基础上。然后， 2 它扩展并诠释这些如何理解保护数字资产 和业务的企业安全程序 (ESP) 的治理。 一个广为接受的定义是由国际会计师联合会（IFAC ）和国际信息系统审计与控 制协会（ISACA ）所阐述的企业治理结构如下所示： 企业治理是一组董事会和高级管理层行使的提供战略方向和目标，并确保实现 该目标的职责和做法，确定风险的适当管理和验证，使组织的资源被负责任的 使用[IFAC04]。 确定有效的企业治理，包括商业圆桌会议（Business Roundtable）[BRT05]：  为被治理单位的行为建立管理文化基调  指定了一个决策问责制和完整性，包括分配角色和职责，行为准则的框架  确定一个清晰、明确的组织的战略目标方向  指导、控制并强有力的影响单位以实现既定的期望  操作和及时披露财务报表准确地做出决定和结论  调整风险管理策略，并确保遵守  对业务和管理行为进行有效的尽职调查和审计  通过有效的控制、度量和执行政策确保决策的实施  使治理体系覆盖整个组织 治理延伸到管理组织使用IT。IT 治理研究所声明[ITGI 03]： IT 治理是董事会的董事及高级管理层的责任。它是企业治理的一个组成部分， 由领导层、组织结构和流程组成，以确保该组织的IT 支撑和扩展组织的战略和 目标。 企业治理和IT 治理越来越多地包括IT 系统和信息的安全性。美国工业安全（ASIS ）、 信息系统安全协会（ISSA）、ISACA 协会的成员（Booz Allen Hamilton）检查安全风 险和业务操作的融合。在他们的报告中，企业安全组织融合，这种融合他们采用ASIS 的说明 [AESRM05]： 识别安全风险业务功能和流程在企业内部和业务流程管理解决方案的开发之间 的依赖性，处理这些风险和相互依存关系。 企业安全管理的定义为[Allen 05]：  指导和控制组织建立并维持组织的行为 （信仰、行为、 能力和行动) 中 的安全文化  在业务处理中适当的安全是一个没有商量余地的要求 美国国家标准与技术研究院（NIST）在其出版物，信息安全手册：管理指南[Bowen 06] （Information Security Handbook: A Guide for Managers ）中扩展信息安全治理这个定 义如下： ……建立和维持一个框架支持管理结构和过程，以提供保证信息安全战略的过 程  符合并支持业务目标  通过遵守适用的法律和法规相一致的政策和内部控制策略  职责分配 管理所有的风险。 最有效的安全治理和管理是当他们把文化和架构系统的有机结合在一起的组织 行为和行动。 在这方面，一个团体或组织