CyberSecurity: It is not just about technology!From(
https://advisory.kpmg.us/services/cyber-security-services.html)毕马威IT 安全咨询服务Advisory
https://advisory.kpmg.us/services/cyber-security-services.html)毕马威IT 安全咨询服务Advisory相关法规与新闻:网安法、个保法、数安法下的法律责任(网安法、个保法、数安法下的法律责任)导图 | 等保2.0大数据基本要求(导图 | 等保2.0大数据基本要求)等保2.0系列安全计算环境之数据完整性、保密性测评(等保2.0系列安全计算环境之数据完整性、保密性测评)毕马威助力腾讯集团S系统财务管理通过ISO27001信息安全管理体系认证(毕马威助力腾讯集团S系统财务管理通过ISO27001信息安全管理体系认证)
网安法、个保法、数安法下的法律责任)导图 | 等保2.0大数据基本要求(导图 | 等保2.0大数据基本要求)等保2.0系列安全计算环境之数据完整性、保密性测评(等保2.0系列安全计算环境之数据完整性、保密性测评)毕马威助力腾讯集团S系统财务管理通过ISO27001信息安全管理体系认证(毕马威助力腾讯集团S系统财务管理通过ISO27001信息安全管理体系认证)快读导读 - 企业安全架构图 Security Architecture Framework
信息安全策略相关业务架构Business Architecture – 参考前文。
1. What - 什么是Security Architecture?
企业信息安全架构 Enterprise information security architecture(EISA)
是一种全面和系统的行业良好实践;用来指导一个组织的信息安全流程,信息安全系统,相关人员以及组织下属关联单位,以确保它们能有机地结合起来,按照组织既定的目标和章程运行。虽然EISA经常和信息安全技术(Information SecurityTechnology)一并提出,但是需要注意:企业信息安全架构是一个比技术更广泛的概念业务优化(business optimization)业务安全体系(business securityarchitecture)流程表现回顾(performance management)安全流程体系(security process architecture)
企业信息安全架构的目标 EISA Goal(file:///F:/davi%20file/%E6%96%87%E7%AB%A028-%E5%AE%89%E5%85%A8%E6%9E%B6%E6%9E%84/%E5%AE%89%E5%85%A8%E6%9E%B6%E6%9E%84.docx#_edn1)[i]提供组织化的信息安全管理-结构化,连贯化向心化确保企业内部实现“Business to Security”的统一协调自上而下商业策略自下而上业务策略特定的业务需求关键原则统一组织内关于信息安全的“交流语言”
file:///F:/davi%20file/%E6%96%87%E7%AB%A028-%E5%AE%89%E5%85%A8%E6%9E%B6%E6%9E%84/%E5%AE%89%E5%85%A8%E6%9E%B6%E6%9E%84.docx#_edn1)[i]提供组织化的信息安全管理-结构化,连贯化向心化确保企业内部实现“Business to Security”的统一协调自上而下商业策略自下而上业务策略特定的业务需求关键原则统一组织内关于信息安全的“交流语言”2.Why - 关于Security的3大认知误区:
误区1:我们一定要达到100%的安全,不允许任何安全事件的发生;
实际情况:100%不发生安全事件 – 既不现实,也无可能。
正如ICH Q9 Risk Management说明的那样 – 风险管理的目的并不是要求把所有风险都消除将风险降低到一个风险可接受的程度
所以一个良好的企业安全架构首先要为企业树立的安全意识是:对于信息安全的正确风险管理,一定是建立在对于安全风险本身的认知安全薄弱环节预防(Prevent)识别(Detect)响应(Response)
KPMG Cyber Security三位一体的安全应对
误区2:只要我们肯花钱买用最好的技术,那么我们就能确保安全;
实际情况:真正有效的安全依靠技术,更依靠人的安全意识。
正如GMP Personal培训强调的 – 人是GMP风险最大的来源缺少了有新时代信息安全意识的人
只有当人们理解了自己保护信息安全的责任和义务时,对最好的安全技术的投资才会带来回报。虽然信息安全通常是由IT部门领导的,但是最终用户 End User的知识和意识是至关重要的人的因素Human Factor安全方面最薄弱
图3. 社会工程Social Engineering 并非依靠技术通过话术
误区3:信息安全的合规主要是如何有效的监控和预防安全事件;
实际情况:事后妥善处理及总结经验教训的能力同样是安全合规所看重的。
现实表明,网络安全在很大程度上是由合规Compliance驱动的
然而,“为了合规而合规”,并将其视为网络安全政策的最终目标是适得其反的; 只有能够了解外部信息安全事态发展事件趋势信息安全政策战略提供信息
组织需要了解对于自身的信息安全威胁最有可能从何而来安全预防花费可能造成的损失【Cost-Effective Defense】Risk-Based Approach方法一刀切地要求无论轻重缓急
成熟的企业安全体系Cyber Maturity一套评估标准引导IT部门及关键用户
3. How -成熟企业安全体系的六大架构
毕马威(KPMG)建议:作为管理层,你想知道你的组织是否拥有成熟的企业安全管理体系六个关键维度
领导和管理 Leadership and Governance人为因素 Human Factor信息风险管理 Information Risk Management业务连续性 Buiness Continuity业务和技术 Operations and Technology法律和合规 Legal and Compliance
([i])https://en.wikipedia.org/wiki/Enterprise_information_security_architecture
[i])https://en.wikipedia.org/wiki/Enterprise_information_security_architecture