网络安全:什么是信息安全治理，为什么重要?

网络攻击和威胁是影响全球大多数企业的最重要问题之一。网络攻击的数量明显增加，大量机密和敏感数据因此遭到破坏。网络安全被视为一个技术问题，但实际的解决方案完全取决于良好的信息安全治理。信息安全治理是组织监控、处理和控制信息安全的过程。

什么是信息安全治理?

国家标准和技术研究所(NIST)将信息安全治理定义为"参与和维护框架，以确保信息安全战略支持业务目标，并通过遵守政策和内部控制，与适用的相关规定保持一致，并规定责任分配，所有责任都管理风险"。

它可以被归类为治理、风险和合规 (GRC)，其中治理负责维护和管理支持业务的 IT 运营;风险确保识别和解决任何相关风险，不造成或最小损害和合规，确保遵守系统的相关规定，并确保资源和数据得到安全使用和处理。

信息安全治理与信息安全管理

了解信息安全治理与信息安全管理的区别至关重要。信息安全管理处理与降低风险、决策和建议安全战略相关的决策。相比之下，信息安全治理涉及问责制框架。它确保降低风险，并确保安全管理建议的安全战略与业务目标相关联。信息安全治理包括良好的风险管理、全面的测试和培训、报告控制和准确的问责制，以实现组织的网络安全目标。良好的治理计划有助于改变组织的安全方面，并可能导致以下结果:

组织并优先利用所有资源(时间、金钱、努力等)。在本组织的信息安全政策方面有良好的让步。降低不确定性率。决策基于结构而不是意见。问责制和简易信息保护方法的透明度。在组织进行尽职调查方面拥有充足的资源，在面临法律后果的挑战时，能够产生更好的概念。要拥有特殊的信息安全治理，必须以指数级框架支持它。该框架应该能够支持和保护组织免受不断变化的网络威胁。

建立该框架是为了实现以下目标:

熟悉各种网络安全方法并提供通用语言。建立更高水平的网络安全，满足组织的需求。规划并拨出足够的资金用于实施该框架。实施信息安全治理

信息安全治理的实施基于组织形成的框架。该框架是公认的政策，是建立信息安全治理的基础。它有助于检测、识别和减轻网络攻击。

框架的核心结构包括:

识别:识别业务最关键的功能，确定职能工作所需的资源，网络威胁可能与这些功能相关联。保护:本组织应遏制威胁及其影响的增加，这可以通过实施网络安全保障和安全来实现。检测:通过部署检测和监控控制，可以先检测网络威胁或事件，然后才能影响组织。响应:通过最大限度地减少损害的影响并同时解决网络攻击事件来应对网络攻击事件。恢复:事故发生后恢复和恢复的能力可以通过良好的恢复规划和复原能力来实现。为了能够实施信息安全治理战略，应遵循以下做法:

应制定信息安全政策，包括涵盖所有网络安全领域的所有关键和必要的职能。安全活动应根据要求进行管理，包括监管法律、政策等。

应根据组织政策明确界定每个人员的角色和责任。高级管理人员应建立框架的基础。应充分培训各级管理层的雇员履行适当的角色和责任。员工应对其与信息安全相关的行为负责。信息安全应是组织所有其他管理级别的一部分。应与组织的股东讨论这些政策和程序，以取得成功实施。高级军官应不断更新安全政策，以应对日益增多的维护安全威胁。采用了计划周密的发展生命周期。它制定具体的指标，定期跟踪并报告给高级官员。

信息安全治理管理

信息安全治理管理具有许多方面，可以带来有效而充分的管理。以下是管理和维护安全性管理所遵循的步骤:

采取基于风险的方法

文章来源：《治理研究》 网址: http://www.zlyjzz.cn/zonghexinwen/2021/0423/1563.html