企业信息安全的两个成熟度模型

对于今天高度依赖信息竞争力的企业来说,信息安全的重要性已经无需多言,这一点从企业每年不断增加的信息安全预算以及信息安全优先级的不断提升中得到体现。但是,随着信息安全市场技术创新的不断加速,新的威胁、技术和方法不断涌现,信息安全人才和专业服务相对匮乏,这些都为企业的信息安全策略制定带来了困惑。

一个好的信息安全成熟度模型能够帮助企业快速找到信息安全短板并制定有针对性的策略,加速将信息安全融入企业文化,提升企业“安全竞争力”。

近日著名安全博客KrebsonSecurity推荐了两个企业信息安全成熟度模型并进行了点评如下:

 

一、Enterprise Strategy Group信息安全成熟度模型。

信息安全成熟度模型1

ESG将企业信息安全成熟度划分为基础、进阶和高级三大类,同时为企业首席信息安全官给出了安全规划和策略路径。值得注意的是,ESG认为数据泄露等安全事故也有着积极的意义,通常重大数据泄露事故会刺激企业的信息安全成熟度提升到下一个阶段。

 

二、Blue Lava的信息安全成熟度模型

信息安全成熟度模型3

Blue lava将企业信息安全成熟度划分为“防御与处理”、“合规驱动”和“基于风险的安全方法”三大类和五个阶段:

第一阶段:信息安全流程缺乏组织,或者非结构化,个体的成功经验无法复制和重现,也无法扩展推广,主要原因是流程缺乏定义和文档。

 

第二阶段:信息安全进入可重现阶段,一些基本的项目管理技术成型并可重用,这基于信息安全流程已经定义、建立并文档化。

第三阶段:信息安全工作的重点是文档化、标准化和维护运营支持。

第四阶段:企业通过数据采集和分析来监控和管控自身的信息安全流程。

第五阶段:这是一个迭代阶段,企业通过对现有流程和新流程的监控和反馈来持续改进信息安全流程。

Blue Lava信息安全成熟度模型的优点是可以为所有的企业定制使用,企业可以将每个业务部门建立自己的成熟度积分体系,例如下图中的SDLC(安全开发生命周期)和PMO(项目管理部),图中红色块是企业业务部门最迫切需要提升的安全短板。

信息安全成熟度模型2

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:


关于作者

        在TMT领域具有十余年的咨询和创业经验。 目前主要关注信息安全,同时密切关注云计算、社会化媒体、移动、企业2.0等领域的技术创新和商业价值。拥有美国麻省理工学院MBA学位和清华大学经济管理学院学士学位,曾任BDA中国公司高级顾问,服务过美国高通、英特尔、中国网通、SK电讯、及沃达丰等公司。联系邮件:wangmeng@ctocio.com