论坛

什么是治理...
 
Notifications
清除所有

什么是治理&网络安全治理?


帖子:84
主持人
Topic starter
(@太极)
成员
Joined: 1 year ago

虽然治理包括监督,但它是一个更广泛的概念。治理是指组织到位的结构,系统和实践:

  • 分配决策当局,定义如何做出决定,并建立组织的战略方向;
  • 监督其服务的交付;实施其政策,计划,计划和项目;并监测和减轻其关键风险;和
  • 报告其在实现预期结果方面的表现,并使用绩效信息来推动正在进行的改进和纠正措施。

提出了一种简化的治理框架 图1.

图1

简化的治理框架

简化的治理框架

据了解了善政,近年来近年来发表了一些组织,包括审计办公室,已经写了很多关于善政的。 (例如,参见澳大利亚国家审计署2014年更好的练习指南 公共部门治理:通过良好治理加强绩效。)

虽然这种练习指导并未探讨公共部门治理的各个方面,但突出支持良好治理的基本原则是有用的,因此也有助于监督。

善政的基本原则是:

  • 问责制
  • 领导
  • 正直
  • 管家
  • 透明度。

这五项原则简要定义 图2.

图2 - 善治的原则

问责制 是个人,团体或组织履行已授予的责任的义务。

领导 正在设置“顶部的音调”,这在鼓励组织的人员接受良好的治理实践方面发挥着至关重要的作用。

正直 以公正,道德和公共利益的方式行事。诚信通过遵守立法,法规和政策,以及通过在组织各级灌输高标准的专业精神。

管家 是代表公众照顾资源的行为,并通过维持或提高组织随着时间的推移提供公共利益的能力来证明。

透明度 在决策和行动开放时实现,这意味着利益相关者,包括公众和员工,可以获得有关公共事项的完整,准确和清晰的信息。

来源:修改了 公共部门治理:良好做法原则的指导,不列颠哥伦比亚省审计长办公室。

审计师对审计员对审计机构和管理层发挥的独特作用也很有用。作为一般原则,监督机构的角色应该从管理层中间隔离。为了说明这一原则, 表格1 介绍董事会和管理委员会在公共部门机构,董事会和当局的常规角色。

预计监督机构将在不参与本组织的日常管理情况下发挥各自的角色。监督机构的成员也应独立于管理,以避免真实或感知的利益冲突。

表1 - 董事会和管理委员会的单独角色

董事会的角色

管理层的角色

  • 选择,评估和启用首席执行官
  • 符合董事会方向管理组织
  • 让董事会通知
  • 寻求董事会的律师
  • 批准战略组织目标和政策
  • 建议相关信息支持的目标和政策
  • 做出战略决策
  • 在组织的使命和战略愿景的背景下的框架决策,并提供有关良好的建议书
  • 建立适当的风险耐受性水平
  • 进行风险评估,缓解和监督风险,并提供董事会对本组织的主要风险进行定期更新
  • 监督管理和组织绩效
  • 提供透明,完整,及时的信息,简化,上下文或比较格式提供董事会
  • 对额外信息的要求响应
资料来源:改编自B. S. Bader(2008),“区分治理从管理层,“伟大的董事会,卷。第3节。
主题标签
3 答案
帖子:84
主持人
Topic starter
(@太极)
成员
Joined: 1 year ago

一般而言,治理是负责企业的人行使的一系列责任和实践(例如,公司的董事会和董事会,代理机构负责人的董事会),其目标是提供战略方向,确保目标是
实现的,确定风险适当地管理,并验证企业的资源负责任地使用.4风险和资源可以与不同的域(例如,信息技术或IT,金融,法律和法规合规,信息安全)和不同的域相关联需要专门的专业知识来管理风险。因此,
企业治理经常由域名组织

 

网络安全治理是指企业治理的成分,以解决企业对对手的依赖的依赖.6网络安全治理,因此包括信息系统安全治理;信息系统是否可以通过信息安全治理识别信息系统安全治理取决于
当企业限制信息安全性时,虽然信息安全治理的各个方面可以解决网络空间之外的信息,但是非网络和网络领域之间的信息流程如此普遍,这通常是如此
对于网络安全治理的优选涵盖信息安全治理。

 

笔记: //www.mitre.org/sites/default/files/pdf/10_3710.pdf

 

 

 

合规性 分层网络安全治理框架™ (HCGF)对能够展示尽职调查和适当照顾的证据的关键是必要的文档组成部分。该框架解决了政策,控制目标,标准,准则,控制,风险,程序的互连性& metrics. The 安全控件框架(SCF) 通过提供必要的网络安全和隐私控制来符合此模型,控制组织需要实施以保持安全和符合要求。

2020-阶级 - 网络安全 - 治理框架.jpg

 

回复
帖子:84
主持人
Topic starter
(@太极)
成员
Joined: 1 year ago

这 合规 综合网络安全型号™ (ICGM) 全面了解控制网络安全和隐私计划。没有更广泛的行动概念 治理,风险&符合性(GRC)/综合风险管理(IRM)  功能,组织往往会发现他们的治理,风险,合规和隐私团队都坐在他们的思考和运作中。这些淤泥功能和不明确的角色通常源于对这些特定职能如何聚集在一起的战略解,以建立能够对人,流程和技术的质量控制的各个团队之间建立共生的工作关系。

 

ICGM利用了一个 计划,做,检查& Act (PCDA) 方法是设计治理结构的逻辑方法:

  • 计划。整体GRC处理规划。本计划将定义组织的策略,标准和控件。它还将直接影响组织购买的工具和服务,因为技术购买应该满足由政策和标准定义的需求。
  • 。可以说,这是网络安全和隐私从业者最重要的部分。控件是制作过程,应用程序,系统和服务安全的“安全胶水”。过程(也称为控制活动)是如何实际实现和执行控件的过程。这 安全控件框架(SCF) 如果您的组织缺乏全面的网络安全和隐私控制,则可以成为控制集的出色起点。
  • 查看。简单来说,这是态势意识。仅通过指标报告并审查审计/评估结果来实现态势意识。
  • 行为。这是基本上的风险管理,这是一个包含解决目前存在的两种主要概念(1)对本组织可能威胁的实际缺陷的涵盖的涵盖区域。

 

 

回复
帖子:84
主持人
Topic starter
(@太极)
成员
Joined: 1 year ago

治理:

  • 目标
  • 政策& Standards
  • 政策生命周期管理

风险管理:

  • 风险评估
  • 风险评估
  • 风险监测
  • 风险缓解

遵守:

  • 更换管理层
  • 项目评估
  • 建筑评论
  • 配置管理

 

治理方法:

  • 创造和促进积极的文化
  • 验证网络安全的投资和对准
  • 授权并确保网络安全计划
  • 需要关于网络安全计划的报告

治理所需的结果:

  • 经营战略的网络安全战略对齐
  • 更好的风险管理
  • 更好的资源管理
  • 更好的性能测量
  • 改善价值交付

NACD基本实践( //www.nacdonline.org)

国家公司董事协会,NACD

  • 将网络安全放在董事会上's agenda
  • 识别和支持网络安全领导者
  • 确保网络安全政策的有效性
  • 将网络安全分配给关键委员会并支持它

网络安全的要求:

  • 风险管理方法论
  • 综合策略
  • 安全结构
  • 专注的策略
  • 安全政策
  • 安全标准
  • 监测过程
  • 继续评估和更新

CGTF治理方法

  • 进行年度网络安全评估
  • 进行定期风险评估
  • 实施政策和程序
  • 实施安全管理结构
  • 制定计划并启动行动
  • 将网络安全视为SLC的一个组成部分
  • 为个人提供网络安全意识培训和教育
  • 进行定期测试和评估
  • 创建一个修复计划
  • 开发事件响应程序
  • 建立运营的连续性
  • 使用安全最佳实践指导

ISO / IEC 27014:2013 - IT -Security Techniques - 信息安全的治理

  • 建立组织范围的网络安全
  • 采用基于风险的方法
  • 设定投资决策的方向
  • 确保符合要求
  • 培养安全积极的环境
  • 审查业务成果的绩效

评估 - 直接监测 - 沟通 - 保证

回复
分享: