• Bookmark

维多利亚州数据保护安全框架和 COBIT 5

作者:Syed Salman,CISA

COBIT Focus | 2018 年 7 月 9 日 English

Syed Salman 当今时代,每天生成、处理、传递和存储的数据量达到了前所未有的水平。1 大部分人都很清楚,与他们有关的信息通常由政府和私人机构等各种组织保存。这些信息可能关乎个人隐私,他们不希望组织在未经他们明确同意的情况下将这些信息披露给他人。遗憾的是,隐私和个人数据却频频遭到破坏。2 此外,最近一些关于主要社交媒体服务提供商的信息泄露事件,更使很多用户对其个人数据的使用情况感到忧心。3

随着越来越多的数据和网络威胁出现,全球各地出台了很多有关信息安全和个人数据隐私的法规,其中包括沙特阿拉伯金融管理局发布的《网络安全框架》、欧洲理事会批准和采用的《一般数据保护条例》(GDPR),以及澳大利亚维多利亚州信息委员办公室 (OVIC) 发布的《维多利亚州数据保护安全框架》(Victorian Protective Data Security Framework,VPDSF)。

本文阐述了如何使用 COBIT 5 来帮助组织遵守《维多利亚州数据保护安全标准》(Victorian Protective Data Security Standards, (VPDSS)。 图 1 展示了 COBIT 5 流程动力与各项具体 VPDSS 标准的关系。


图 1 — COBIT 5 启用流程与 VPDSS 的对应关系

VPDSS 标准的标题

标准描述

相关的 COBIT 5 流程

相关的流程目标/管理实务

1-安全管理框架 组织必须建立、实施和维护与其规模、资源和风险态势相称的安全管理框架。 APO13 管理安全 流程目标 1 — 实施了考虑并有效解决企业信息安全要求的系统。
2-安全风险管理 组织必须使用风险管理框架来管理安全风险。 APO12 管理风险 流程目标 1 — IT 相关的风险得到了识别、分析、管理和报告。
流程目标 2 — 维护了最新的全面风险概况。
3-安全政策和程序 组织必须建立、实施和维护与其规模、资源和风险态势相称的安全政策和程序。 APO01 管理 IT 管理框架

流程目标 1 — 定义并维护了一系列有效的政策。

4-信息访问 组织必须针对公共部门数据建立、实施和维护访问管理制度。 DSS06 管理业务流程控制 流程目标 2 — 角色、职责和访问权限清单与授权的业务需求一致。
5-安全责任 组织必须定义、记录、沟通并定期审查有权访问公共部门数据的所有人员的安全责任。 MEA03 监控、评价和评估外部要求合规性 流程目标 1 — 已识别所有外部合规性要求。
流程目标 2 — 已满足所有外部合规性要求。
6-安全培训和意识 组织必须确保所有有权访问公共部门数据的人员均接受过安全培训并具备安全意识。 APO07 管理人力资源 管理实务 APO07.03:保持人员的技能和能力。
7-安全事故管理 组织必须建立、实施和维护与其规模、资源和风险态势相称的安全事故管理制度。 DSS02 管理服务请求和 事故 流程目标 3 — 已根据商定的服务水平处理服务请求且使用户 满意。
8-业务连续性管理 组织必须建立、实施和维护业务连续性管理计划来保护公共部门数据的安全。 DSS04 管理连续性 流程目标 4 — 最新连续性计划体现了当前的业务要求。
9-合同服务提供商 组织必须确保有权访问公共部门数据的合同服务提供商不会做出或参与违反 VPDSS 的行为 APO10 管理供应商 流程目标 2 — 供应商风险得到评估和妥善解决。
10-政府服务 如果组织接受由另一个组织提供的政府服务,必须确保该组织在收集、保存、使用、管理、披露或转移公共部门数据方面遵守 VPDSS 的要求。 APO10 管理供应商 流程目标 2 — 供应商风险得到评估和妥善解决。
11-安全计划 组织必须建立、实施和维护数据安全保护计划来管理数据安全风险。 APO13 管理安全 流程目标 2 — 在整个企业范围内制定、接受并传达了安全计划。
12-合规性 组织必须开展年度 VPDSS 实施情况评估,并向维多利亚州信息委员办公室 (OVIC)报告其合规水平。 MEA03 监控、评价和评估外部要求合规性 流程目标 2 — 已满足所有外部合规性要求。
13-信息价值 组织必须开展信息评估,考量公共部门数据可能存在的机密性、完整性和可用性漏洞。 DSS04 管理连续性 管理实务 DSS04.02:保持连续性战略。

活动 2 — 开展业务影响分析,以评估关键业务职能中断带来的长期影响以及中断对这些业务职能本身的影响。
14-信息管理 组织必须在其信息安全框架内建立、实施和维护信息安全控制。 APO13 管理安全 流程目标 1 — 实施了考虑并有效解决企业信息安全要求的系统。
15-信息共享 组织必须确保在分享公共部门数据时应用安全控制。 APO13 管理安全 流程目标 1 — 实施了考虑并有效解决企业信息安全要求的系统。
16-人员生命周期 组织必须在人员管理制度内建立、实施和维护人员安全控制。 APO07 管理人力资源 管理实务 APO07.03:保持人员的技能和能力。

活动 5 — 根据组织和流程要求(包括对企业知识、内部控制、道德行为和安全的要求)制定和提供培训计划。
17-信息通信技术 (ICT) 生命周期 组织必须在其 ICT 管理制度内建立、实施和维护 ICT 安全控制。 DSS05 管理安全服务 流程目标 1 — 网络和通信安全满足业务需求。
流程目标 2 — 对终端设备上处理、存储和传输的信息进行保护。
流程目标 3 — 所有用户均可唯一识别,并根据其业务角色获得访问权限。
流程目标 5 — 电子信息在存储、传输或销毁时得到了正确的保护。
18-物理生命周期 组织必须在其物理管理制度内建立、实施和维护物理安全控制。 DSS05 管理安全服务 流程目标 4 — 已实施物理措施,保护信息在处理、存储或传输时不会受到未经授权的访问、损坏和干扰。


利用图 1 的关系图,专业人员可访问《COBIT 5: 启用流程》中提供的进一步重要信息。VPDSS 出版物不包含此类信息。此外,每一个 COBIT 5 启用流程还提供了更多信息(图 2),这些信息对于实施/改进流程以满足 VPDSS 要求很有帮助。


图 2 — 各个流程的更多信息

COBIT 5:启用流程》一书中提供了各个流程的更多信息

描述

关键绩效指标 (KPI)

这是一份建议的 KPI 列表,可用于衡量流程绩效,衡量结果可用于持续改进流程。

定义了指标,以衡量目标的实现程度。指标可定义为:“可以衡量流程目标实现情况的一种可量化的实体。指标应明确、可衡量、可实现、相关且有时限 (SMART)。”4

利益相关方职责表

COBIT 5 流程涵盖了内部和外部利益相关方及其角色;利益相关方及其职责均记录在执行人、责任人、被咨询人或被通知人 (RACI) 表中。外部利益相关方包括客户、业务合作伙伴、股东和监管部门。内部利益相关方包括董事会、管理层、员工和志愿者。

输入/输出

COBIT 5 输入和输出指支持流程运作所必需的流程工作成果/人工产物。它们可支持关键决策的制定,提供流程活动的记录和审计轨迹,并在发生事故时推动事故跟进。它们在关键治理/管理实务层面定义,可能包括一些仅在流程中使用的工作成果,这些成果通常是其他流程的必要输入。


澳大利亚维多利亚州政府实体将尽力遵守 VPDSS 要求,而且必须在 2018 年 8 月 31 日之前提交高级数据保护安全计划 (PDSP)。在政府实体工作的专业人员可以通过使用世界一流的 COBIT 5 框架来减轻工作负担,实施切实可行并为组织带来可持续效益的流程。


Syed Salman, CISA

Salman 是安永(澳大利亚)事务所顾问团队的一员。他在澳大利亚、中东和南亚的 IT 审计和 IT 顾问方面拥有丰富的经验。他曾参与帮助澳大利亚维多利亚州的一些政府实体开展 VPDSS 差距评估工作和准备 PDSP。他还参与了大型组织 IT 治理和 IT 风险管理事务的评估工作,并且通过了 COBIT 5 基础和评估师考试。


尾注

1 EMC Digital Universe, The Digital Universe of Opportunities: Rich Data and the Increasing Value of the Internet of Things, 美国,2014 年 4 月
2 Dingwall, D.; F. O’Mallon; T. McIlroy; “Data Breach Sees Records of 50,000 Australian Workers Exposed,”悉尼先驱晨报,2017 年 11 月 2 日
3 Timberg, C.; T. Romm; E. Dwoskin; “Facebook: ‘Malicious Actors’ Used Its Tools to Discover Identities and Collect Data on a Massive Global Scale,”华盛顿邮报,2018 年 4 月 4 日
4 ISACA, COBIT 5: 启用流程, 美国,2012 年,第 19 页