Gartner-使用信息安全项目成熟路线图保护企业商业资产-13页.docx

Gartner IT领导者 使用信息安全项目成熟路 线图，保护企业商业资产 ? 2021 Gartner, Inc.及/或其关联公司版权所有。保留所有权利。CM_GTS_1390702 信 信息安全项目的7+1个目标 管理员工和劳动 力战略 3.进行沟通 进行运营管 理 5.管理 来源： Gartner 评估和管理 风险 吸引并支持 利益相关方 管理职能部 门 管理信息安 全项目 保护基础设施 提供保障 4.保护 2.规划 6.运营 7.保障 1.识别 提高信息安全项目安全能力和有效性所必需的关键组成部分有 哪些？ 越来越多的企业高管都开始意识到，信息安全问题可能会对企业造成不 可修复的损害，因此信息安全的重要性也随之迅速提升。到2023年， 30%的首席信息安全官 (CISO) 将以“为业务部门创造的价值”作为其 业务绩效的直接评估标准。 因此，安全与风险管理领导者必须制定和实施信息安全愿景，而该愿景需要 既能大规模创造数字价值，又能切实管理安全风险。然而，提高信息安全能 力及其有效性的关键在于成熟的框架，且该框架能够根据内外部各种因素来 计划、建立、报告和修改信息安全活动。 如果企业机构缺乏信息安全项目，那么其信息安全活动将不过是众多技 术性实践的单纯集合，不能系统地解决信息安全风险和施以相应的对策。 成熟的信息安全项目由七个部分组成，可高效满足企业机构的 目标。 Gartner IT领导者 成为客户 使用信息安全项目成熟路线图，保护企业商业资产2 9 90% 董事会对安全和风险管理的关注度越来 越稿，90%的安全和风险管理领导者在 过去一年中至少向其董事会汇报过一次 信息安全问题。 来源： Gartner 到2024年， 60%的CISO将与销售、财务 和市场等关键部门的领导者建立重要的 伙伴关系。 60% 如何调整信息安全项目以应对新一代威胁？ 成熟的信息安全项目是由政策、流程和架构实践组 成的强大的治理集合，它提供了： ? 用户、系统和配置活动的边界 ? 针对设计、实施和运营的指导 成熟的信息安全项目必须能够适应新一代威胁及其 给企业机构带来的风险，并满足业务部门的需求和 要求。 信息安全项目的开发需要时间， 需要具备可 高度演进，能够针对变化进行自我调整的特性。而 达到这种成熟度水平的信息安全项目需要整个团队 的共同努力。首席信息安全官(CISO)必须意识到， 作为具体技能的使用者，销售、市场和其他业务部 门的负责人都是其重要的合作伙伴。而且，安全风 险往往大规模发生在IT之外的部门。 Gartner IT领导者 成为客户 使用信息安全项目成熟路线图，保护企业商业资产3 战略计划评估项目 战略计划 评估项目 成熟的信息安全项目需要解决的一些重要问题： 1 维护信息安全项目的流程是怎 2 信息安全项目的组成部分有哪些？ 主要包括哪些关键步骤？ 通过与已成功实施信息安全项目的客户的沟通互动， Gartner从中整理出了最佳实践洞察。路线 图则展示了实现目标和预期成果的优先顺序，可用于协调所有利益相关方。 下面将重点介绍一些关键步骤和相关的Gartner资源样本，更多细节请参阅完整版路线图。 3 如何使用商业语言传达信息安全的价值？ 制定战略 进行沟通 再次评估、优化改进 Gartner IT领导者 成为客户 使用信息安全项目成熟路线图，保护企业商业资产4 战略计划评估项目 战略计划 评估项目 制定战略 进行沟通 再次评估、优化改进 战略计划 确定信息安全计划和预期的关键成果 措施： 了解关键业务重点，确 了解关键业务重点，确定 项目的使命、愿景； 明晰业务、技术和威胁 的驱动因素。 + 更多 明 明确项目的目标和价值， 确定关键利益相关方的角 色和职责。 根据企业机构战略制定 根据企业机构战略制定安 全控制措施，并映射到标 准化的安全框架中。 Gartner提供的资源包括： ? 研究报告： 2021年领导力前瞻：安全与风险管 理 ? 研究报告：安全与风险管理IT Score评价模型 ? 研究报告：信息安全控制映射工具 ? 分析师问询：确定项目的目标和价值，以及关 键利益相关方的角色和职责 + 更多 Gartner IT领导者 成为客户 使用信息安全项目成熟路线图，保护企业商业资产5 战略计划评估项目 战略计划 评估项目 制定战略 进行沟通 再次评估、优化改进 评估项目 评估项目的当前状态和创建路线图 任务： 评估现有系统、员工 评估现有系统、员工、 流程、工具、技术、用 户意识、以及与第三方 的互动情况。 + 更多 进行当前项目的成 进行当前项目的成熟度基线 评估，确定目标状态和进行 差距分析。 利用审计结果，制定与项 利用审计结果，制定与项 目目标一致的战略草案和