想建立穩固的資訊安全組織嗎?參考本文建議,從起草安全組織章程並定義其範圍開始,遵循國際安全標準,並考量 Secure Controls Framework 的 33 個關鍵領域。
文/屠震
你的風險態勢評估和行動計畫在面試中讓公司留下了深刻的印象,之後你被聘用並負責建立一個新的資訊安全組織。第一步應該怎麼做?
起草安全組織章程並定義其範圍
‧安全組織章程:
安全組織應遵循國際安全標準,如 ISO 27001 和 NIST 框架,對安全風險進行優先排序,並根據公司的風險偏好,透過人員、流程和技術協同管理風險。有效的安全管理是永續安全的基石。在解決問題時,應考量風險處理策略,明確優先修補的問題及延後處理的原因,確保資源用於降低最關鍵的風險。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
風險處理:沒有必要修復所有風險。組織也可以接受、轉移(例如購買網路安全保險)或規避(例如避開某些業務領域)風險,或是只把風險修復至可接受的水準。
‧資訊安全組織業務範圍:
這聽起來是不是很熟悉?根據風險評估,你希望採取一些措施來增強公司的災難復原和營運持續計畫,但你可能會被指責越界到公司 IT 部門的領域。
[ 推薦文章:策略性資安風險管理的 4 個關鍵步驟 ]
我總是強調,我的安全組織的職責範圍涵蓋所有與國際安全標準相關的領域,大多數安全標準涵蓋以下 Secure Controls Framework 中的 33 個關鍵領域:
(本文授權非營利轉載,請註明出處:CIO Taiwan)
