信息安全治理（五）——创造新的战略竞争机遇

成熟度级别

说明

0

没有级别

l 没有评价流程和商业决策的风险；组织没有考虑与安全隐患和项目开发不确定性对业务的影响；没有认识到风险管理关系到IT解决方案的获得和IT服务的传送；

l 组织没有认识到IT安全的必要性；没有确定保证安全的责任和义务；没有实行支持IT安全管理的措施；没有对IT安全问题的IT安全报告和响应程序；完全没有管理系统安全的流程；

l 不理解IT运作的风险、弱点和威胁，不理解没有IT服务对业务的影响；不认为服务的连贯性是管理层关心的问题。

1

初始的/混乱的

l 组织以一种混乱的方式考虑IT风险，没有遵循定义的流程和政策；每个项目都是采取非正式的项目风险评估；

l 组织认识到IT安全的必要性，但是安全意识依靠个人；被动考虑IT安全，没有评测IT安全；因为职责不清，发现IT安全问题只引起局部反应；无法预知对IT安全问题的反应；

l 持续提供服务的职责不是正式的，且只有限的授权；管理层知道有关风险和持续服务的必要性。

2

可重复的但是根据直觉

l 开始认识到IT风险的重要性和必要性；有某种风险评估方法，但这个过程虽然仍旧不成熟，但在完善中；

l IT安全职责被赋予一个了解IT安全，但没管理权的人；不完整的和有限的安全意识；形成但没分析IT安全信息；没有确定组织特定的IT安全需求，只是被动对IT安全事故做出反应，请第三方处理这些事故；开始制定安全政策，但没有足够的技巧和工具；IT安全报告不完整，易于使人误解，或不能切中要害；

l 分配了持续服务的职责，但提供的服务不完整；系统可用性报告不完全，没有考虑其对业务的影响。

3

已定义的流程

l 组织范围内的风险管理政策定义了怎样进行风险评估；风险评估遵循一个已定义的流程；该流程已形成规范，适用于所有接受过相应培训的员工；

l 安全意识存在并得到管理层的促进；安全简报已标准化和正式化；定义IT安全程序并使其适合安全政策和程序结构；确定IT安全职责但没有始终如一地得到执行；存在驱动风险分析和安全解决方案地IT安全规划；IT安全报告面向IT而不是面向管理；执行了初步的入侵测试。

l 管理层不断交流持续服务的必要性；局部采用了高可靠设备和冗余系统；严格维护重要的系统和设备清单。

4

已管理的和可测量的

l 根据标准程序评估风险，不遵守此程序的将被IT管理者通报；IT风险管理可能成为具有很高责任的管理职能；管理执行层和IT管理者已确定组织容忍的最大的风险级别，并已有测量风险/收益比的测量标准；

l 清晰赋予、管理和执行IT安全职责；持续分析IT安全风险和影响；完整的基于特定安全基准线的安全政策和实践；标准化的用户识别、验证和授权；建立员工安全认证考试制度；入侵测试是标准的和正式的改进程序；越来越多利用成本/收益分析，支持安全评测；IT安全流程与组织总体的安全职能保持一致；IT安全报告与管理目标相联系；

l 强制执行持续服务的职责和标准；始终使用冗余系统，包括使用高可靠设备。

5

优化级

l 开始有规律地、有效地执行一个结构化的、组织范围内的风险评估流程；

l IT安全是业务管理者和IT管理者的共同责任，它被统一到公司安全管理目标中；IT安全需求被清晰定义，优化并包括于经核实的安全计划中；安全职责在应用软件的设计阶段就被考虑，终端用户负有更多的管理安全的责任；IT安全报告提供变化和出现的风险的早期警告；自动监控关键的系统；利用由自动化的工具支持的正式的事故响应程序快速处理事故；定期的安全评估，以评价安全计划执行效果；系统地收集和分析新的威胁和隐患信息，及时通知并实施恰当地补救措施；入侵测试、安全事故的深层原因分析和预先发现风险是持续改进的基础；在组织范围内集成的安全程序和技术；

l 持续服务计划和业务持续性计划被集成，调整，并得到日常的维护；购买的持续服务必须得到厂商和主要提供商的安全保证。