本文讲的是 企业信息安全的两个成熟度模型,对于今天高度依赖信息竞争力的企业来说,信息安全的重要性已经无需多言,这一点从企业每年不断增加的信息安全预算以及信息安全优先级的不断提升中得到体现。但是,随着信息安全市场技术创新的不断加速,新的威胁、技术和方法不断涌现,信息安全人才和专业服务相对匮乏,这些都为企业的信息安全策略制定带来了困惑。
一个好的信息安全成熟度模型能够帮助企业快速找到信息安全短板并制定有针对性的策略,加速将信息安全融入企业文化,提升企业“安全竞争力”。
近日著名安全博客KrebsonSecurity推荐了两个企业信息安全成熟度模型并进行了点评如下:
一、Enterprise Strategy Group信息安全成熟度模型。
ESG将企业信息安全成熟度划分为基础、进阶和高级三大类,同时为企业首席信息安全官给出了安全规划和策略路径。值得注意的是,ESG认为数据泄露等安全事故也有着积极的意义,通常重大数据泄露事故会刺激企业的信息安全成熟度提升到下一个阶段。
二、Blue Lava的信息安全成熟度模型
Blue lava将企业信息安全成熟度划分为“防御与处理”、“合规驱动”和“基于风险的安全方法”三大类和五个阶段:
第一阶段:信息安全流程缺乏组织,或者非结构化,个体的成功经验无法复制和重现,也无法扩展推广,主要原因是流程缺乏定义和文档。
第二阶段:信息安全进入可重现阶段,一些基本的项目管理技术成型并可重用,这基于信息安全流程已经定义、建立并文档化。
第三阶段:信息安全工作的重点是文档化、标准化和维护运营支持。
第四阶段:企业通过数据采集和分析来监控和管控自身的信息安全流程。
第五阶段:这是一个迭代阶段,企业通过对现有流程和新流程的监控和反馈来持续改进信息安全流程。
Blue Lava信息安全成熟度模型的优点是可以为所有的企业定制使用,企业可以将每个业务部门建立自己的成熟度积分体系,例如下图中的SDLC(安全开发生命周期)和PMO(项目管理部),图中红色块是企业业务部门最迫切需要提升的安全短板。