• Bookmark

GEIT 框架的实际应用,第 4 部分: 概述工作成果

作者:Peter C. Tessin,CISA、CRISC、CISM、CGEIT

COBIT Focus | 2018 年 9 月 17 日 English

如果不认真对待工作成果和项目计划,就无法完成企业 IT 治理 (GEIT) 计划。它们是推动 GEIT 取得实际成果的要素。本文是介绍企业 IT 治理 (GEIT) 框架实际应用的系列文章(分为 6 部分)的第 4 部分,概述了创建定义的工作成果和以高效、有效的方式成功执行项目计划所需的工作。

“APO13 管理安全”流程的 3 个实践中定义了 6 项工作成果。项目计划详细说明了这些成果的创建方式以及负责人员。在此阶段,需要定义工作成果自身并分配好资源,以确保及时、正确地输出工作成果(图 1)。


图 1 — APO13 工作成果输出

工作成果

描述

信息安全管理系统 (ISMS) 政策

将成为 ISMS 一部分的政策、标准或操作实践

ISMS 范围声明

ISMS 战略和计划文档或 ISMS 计划大纲的一部分

信息安全风险处置计划

基于风险概况的 ISMS 风险评估流程的一部分

信息安全业务案例

对 ISMS 环境中将受到提议变更影响的环境和活动的正式解释。业务案例为开展所支持的 ISMS 项目提供了依据。

仅在信息安全项目或计划需要时使用

ISMS 审计报告

内部审计报告或月度信息安全报告的一部分,这些报告还将集成到安全事故响应和报告系统中

关于改进 ISMS 的建议

常规 ISMS 监控和报告的一部分。评估师会寻找或要求提供此内容。


针对定义的每项工作成果,必须确定业务流程所有者和其他任何相关方,以定义和创建成果。下一步是详细说明每项工作成果,并动员必要的相关方参与创建成果。


ISMS 政策

ISMS 政策描述了信息安全的运行环境,并指出了支持此环境应遵循的标准。它还可以指定企业内的相关政策。该政策为企业奠定了基础,确保其电子资产得到保护并实现必要的安全级别。

采用 ISMS 政策的组织可以遵循既定形式,例如计划、构建、运行和监控,或计划、执行、检查和实施,或者企业也可以使用内部开发的形式。重要的一点是确定执行安全职能所需的所有相关安全资源。

首席信息安全官 (CISO) 及其代表是制定和批准 ISMS 政策的主要资源。可以利用现有的政策制定、审查和批准流程来制定 ISMS 政策。其他资源可能包括首席信息官 (CIO)、IT 行政总监和信息安全经理。


ISMS 范围声明

ISMS 范围声明定义了安全系统中存在的服务和相关资源,包括物理资产和人力资源资产。ISMS 范围声明必须包括所有对实现企业安全战略起核心作用的系统。企业内部可能有多个 ISMS 系统,因此必须明确说明所服务的区域和所包含的服务,这一点很重要。另外,范围声明还应说明不包含哪些资源,以便让项目团队明确工作重心,这一点也很重要。

ISMS 范围声明是 ISMS 政策的一部分,将作为政策制定流程的一部分生成。组织应确保 ISMS 政策的项目时间表中包含这项工作成果,这一点很重要。


信息安全风险处置计划

通过风险评估可以了解治理结构的几个方面。ISMS 就是其中一个要素。已识别的风险因素将根据它们对应的漏洞、面临的威胁方,以及可能造成的事故或事件的严重性和影响来描述。风险处置计划定义了应接受、规避、转移还是缓解这些风险。

CISO 及其代表是制定和批准风险处置计划的主要资源。可以创建、审查和批准现有的风险评估和风险响应流程来制定风险处置计划。其他资源可能包括 CIO、IT 行政总监和信息安全经理。


信息安全业务案例

业务案例的使用很大程度上取决于企业的具体情况。业务案例通常用于提供继续推进项目的依据。对于已成为常规业务的流程来说,这并不是必需的,但可以为企业进行 IT 促成的投资提供依据。

业务案例也有助于选择风险处置策略,并且可视为风险处置计划制定过程的一部分。流程分析应包括对潜在威胁方和相关系统所面临的漏洞的概述。这是选择风险处置策略的基础,可促使相关人员思考哪些场景是最现实的,值得开展准备活动。


ISMS 审计报告

必须告知内部审计部门正在创建的新工作成果,这将使审计师对可用于加强内部控制环境的资源有更明确的预期,并让他们有机会针对持续改进举措提出建议。在制定或修改管理实践的早期阶段便与内部审计部门合作还有另一个好处:所生成的任何类型的仪表盘或性能报告,在设计时便考虑了内部审计部门的需求。这有助于在内部形成共同语言和一致的理解。

采用协作方式创建审计报告时,将由 CISO 实施监督,但也可以让其他方参与到具体工作中,包括业务流程所有者、项目管理办公室、CIO、企业架构师、开发人员、IT 运营人员、系统管理人员、服务经理、信息安全经理、业务连续性部门和隐私经理。


关于改进 ISMS 的建议

可以从很多方面来改进 ISMS。可以提供这些知识的资源包括在创建审计报告时详细说明的相同角色。流程目标和指标以机械的方式搭建了这项工作成果的报告和监控途径,这也是存在改进机会的地方。先行和滞后指标或关键风险指标 (KRI) 可以提供先验信息,指示能否执行 ISMS 变更。通过使用监控报告来确定此类机会,还可提供创建新业务案例所需的信息,为变更需求提供实质性依据,并且有助于变更准备过程。

考虑并创建所有工作成果之后,ISMS 便做好了运行准备。工作成果的创建流程可确保工作成果与其相关流程和业务目标保持一致。


确认结果

本系列的下一部分将讨论如何确认已成功创建和实施“APO13 管理安全”流程的必要组成部分。这将为运行、后续的指标制定和绩效报告打下基础。


Peter C. Tessin,CISA、CRISC、CISM、CGEIT

Tessin 是 Discover Financial Services 的一位高级经理。他负责领导商业技术 (BT) 风险部门内的治理小组。在此职位,他主要负责确保政策、标准和程序与企业目标保持一致。他既是负责监管考试管理的内部方,也是企业风险管理部门的内部联络人。在担任此职位之前,Tessin 是 ISACA 的一位技术研究经理,期间,他担任 COBIT® 5 的项目经理,领导开发了其他 COBIT 5 相关的出版物、白皮书和文章。Tessin 还曾在 ISACA 网站 COBIT Online 的设计工作中担任核心角色,该网站提供了方便的途径访问 COBIT 5 产品系列,并且包含协助使用 COBIT 的交互式数字工具。在加入 ISACA 之前,Tessin 是一家内部审计事务所的高级经理,领导客户参与工作,并负责 IT 和财务审计团队。之前,Tessin 还曾担任多个行业职位,包括会计师、应用开发程序员、会计系统顾问和培训师、业务分析师、项目经理和审计师。他在原籍国美国之外的许多国家/地区有过丰富的工作经验,包括澳大利亚、加拿大、法国、德国、意大利、约旦、墨西哥和英国。