網(wǎng)絡安全項目需要治理哪一些問題

時間：2020-05-14 08:36:01

關鍵字：網(wǎng)絡安全 RC 應用程序控制

手機看文章

掃描二維碼
隨時隨地手機看文章

[導讀] 盡管治理、風險和合規(guī)性通常被視為獨立的功能，但從這些基本要素的整體角度來看，這表明它們之間存在著共享共生關系。當涉及到網(wǎng)絡安全時，治理、風險管理和合規(guī)性（GRC）通常視為減少安全威脅的

盡管治理、風險和合規(guī)性通常被視為獨立的功能，但從這些基本要素的整體角度來看，這表明它們之間存在著共享共生關系。

當涉及到網(wǎng)絡安全時，治理、風險管理和合規(guī)性（GRC）通常視為減少安全威脅的一些方法。然而，它們的重要性不應低估。

集中的治理、風險管理和合規(guī)性（GRC）計劃為組織達到其安全性和合規(guī)性目標奠定了基礎。如果做得好，這種積極主動的網(wǎng)絡安全方法可以最大限度地減少組織的被動事件響應。

沒有GRC的網(wǎng)絡安全計劃是不完整的

網(wǎng)絡安全作為一個整體由三個要素組成：人員、流程、技術。在這三個要素中，技術往往是最重要的，因為它可以說是最簡單的因素。但是，要使組織成功實現(xiàn)其安全目標，則需要采用程序化、靈活和可擴展的方法來考慮這三個要素。

為了實現(xiàn)這一目標，有效的治理、風險管理和合規(guī)性（GRC）計劃至關重要，因為它可以確保采取整體觀點，同時應對網(wǎng)絡安全這一艱巨的任務。畢竟，使用前沿技術實現(xiàn)流程自動化并不能改善流程本身或結果。

例如，安全運營團隊需要對安全事件進行監(jiān)控和緩解。如果沒有治理、風險管理和合規(guī)性（GRC）計劃，他們將無法了解事件的業(yè)務風險或合規(guī)性影響，這意味著他們只能依靠技術和流程進行管理，他們可能面臨以錯誤的方式對最不重要的問題進行優(yōu)先級排序的風險。

治理、風險管理和合規(guī)性（GRC）具有共生關系

盡管治理、風險和合規(guī)性通常被視為獨立的功能，但從這些基本要素的整體角度來看，它們具有共享共生關系。

治理可確保組織活動以支持業(yè)務目標的方式需要保持一致。確定和解決與任何組織活動相關的風險，并以支持組織業(yè)務目標的方式進行處理。合規(guī)性允許所有組織的活動遵循法律和法規(guī)的方式進行操作。所有這三個方面共同努力，可以創(chuàng)建一種方法，使安全體系結構、工程設計和運營與更廣泛的業(yè)務目標保持一致，同時有效地管理風險，并滿足合規(guī)性目標。

但是，如何擴展治理、風險管理和合規(guī)性（GRC）程序并確保其嵌入組織中？

如何擴展治理、風險管理和合規(guī)性（GRC）程序

就治理、風險管理和合規(guī)性（GRC）而言，并不能完全滿足需求，也不一定非得如此;其應用程序的深度和廣度因組織而異。但是，無論應用程序的復雜性如何，只要組織遵循最佳實踐，就可以采用云計算服務、新興技術以及未知的未來創(chuàng)新對其進行轉換或擴展。

治理

要建立基礎治理，至關重要的是首先確定合規(guī)性要求。這意味著要調查和了解合同義務和合規(guī)性框架，并確定需要實施的必需或選定的標準。

然后組織需要進行計劃評估，以了解當前配置文件的功能和成熟度，確定目標配置文件是什么，并制定實現(xiàn)此目標的計劃。組織的策略應考慮采購、DevSecOps、管理、安全性和人力資源分配，包括定義和分配職能、角色和職責。

最后，組織需要更新和發(fā)布新的政策、流程、程序來教育其員工，并確保維護網(wǎng)絡安全和治理。組織的政策應明確符合其業(yè)務目標。盡管組織的流程必須指定如何升級舊技術以采用現(xiàn)代的組織和管理技術，以及組織的應用程序如何集成云計算服務和其他新興技術。

風險管理

擴展治理、風險管理和合規(guī)性（GRC）策略的第二階段是研究風險管理。對組織的各個方面以及每個業(yè)務線和資產(chǎn)類型進行風險評估至關重要。完成此操作后，組織將對其內(nèi)部的風險有充分的了解，就可以實施計劃來減輕、避免、轉移或接受每一層面、業(yè)務線和資產(chǎn)上的風險。

然后，風險管理框架可用于通過選擇可隨著業(yè)務增長和威脅態(tài)勢而不斷進行監(jiān)視和調整的控制和風險來跟蹤系統(tǒng)。最后階段是將風險信息納入領導力決策中。簡而言之，組織應該經(jīng)常詢問“做出這項決定對我們的業(yè)務將會在財務、網(wǎng)絡、法律、聲譽方面帶來什么樣的風險?！边@樣的問題，通過將這種方法嵌入組織的文化中，可以確保組織完全了解風險位置，制定重要的業(yè)務決策，并推動組織發(fā)展。

合規(guī)性

與治理直接相關的是，合規(guī)性有助于建立政策、標準和安全控制。除了控制監(jiān)視生成的報告之外，組織還必須主動重新評估基安全功能，并確保它們滿足組織的業(yè)務需要。這意味著自動化應用程序安全性測試和漏洞掃描，從控制采樣中進行自我評估，以及了解可能帶來重大風險的微小變化、危險信號和事件。

此外，組織還必須根據(jù)事件和風險變化調整流程。隨著威脅的發(fā)展，組織的安全態(tài)勢也應隨之發(fā)展。為此，將安全操作與法規(guī)遵從團隊進行集成以進行響應管理是至關重要的，建立標準操作程序來應對意外更改也至關重要。

在業(yè)務中優(yōu)先考慮治理、風險管理和合規(guī)性

沒有有效的治理、風險管理和合規(guī)性程序，就不可能制定強有力的網(wǎng)絡安全策略。因此，如果組織要實現(xiàn)其安全性和合規(guī)性目標，則必須將其放在首位。這樣，他們可以確保隨著業(yè)務的增長和法規(guī)的變化，擁有適當?shù)慕M件以進行擴展、調整和發(fā)展。

通過與云計算服務提供商（如AWS）合作，組織可以支持、實施和建議治理、風險管理和合規(guī)性項目，可以確保他們具有適當?shù)闹卫?、風險和合規(guī)性，從而可以應對當前和未來的復雜威脅。