论坛

什么是治理...
 
通知事项
全部清除

什么是治理&网络安全治理?  


太极
帖子:83
主持人
(@太极)
会员
已加入:8个月前

尽管治理包括监督,但它是一个更广泛的概念。治理是指组织为以下目的而建立的结构,系统和实践:

  • 分配决策机构,定义决策方式,并确定组织的战略方向;
  • 监督其服务的提供;其政策,计划,方案和项目的实施;以及监测和减轻其主要风险;和
  • 报告其在实现预期结果方面的绩效,并使用绩效信息来推动持续的改进和纠正措施。

简化的治理框架在 图1.

图1

简化的治理框架

简化的治理框架

关于什么是良好治理,已经写了很多文章,近年来,包括审计办公室在内的许多组织都发布了“良好实践”指南。 (例如,参见澳大利亚国家审计署的2014年最佳做法指南 公共部门治理:通过良好治理来增强绩效

尽管本《实践指南》未探讨公共部门治理的所有方面,但强调支持善治的基本原则也很有用,因此也有助于监督。

善政的基本原则是:

  • 问责制
  • 领导
  • 廉洁
  • 管家
  • 透明度。

这五个原则在 图2.

图2 –善治原则

问责制 是个人,团体或组织履行已赋予的责任的义务。

领导 正在树立“高层基调”,在鼓励组织人员采用良好治理实践方面发挥着至关重要的作用。

廉洁 以公正,道德和公共利益的方式行事。诚信体现在一定程度上是通过遵守法律,法规和政策,以及在组织的各个层次上灌输高水平的专业水准来体现的。

管家 是代表公众照顾资源的行为,并通过维持或提高组织随着时间的推移服务公共利益​​的能力而得到体现。

透明度 当决策和行动开放时就可以实现,这意味着包括公众和员工在内的利益相关者可以获取有关公共事务的完整,准确和清晰的信息。

资料来源:改编自 公共部门治理:良好实践原则指南,不列颠哥伦比亚省审计长办公室。

对审计师清楚地了解监督机构和管理层所扮演的不同角色也很有用。作为一般原则,监督机构的作用应与管理层的作用分开。为了说明这一原理, 表格1 介绍了公共部门机构,董事会和当局中董事会和管理层的通常角色。

监督机构应该扮演各自的角色,而不必参与组织的日常管理。监督机构的成员也应独立于管理层,以避免实际或可察觉的利益冲突。

表1 –董事会与管理层的独立角色

董事会的角色

管理层的角色

  • 选择,评估并任命首席执行官
  • 按照董事会方向管理组织
  • 通知董事会
  • 寻求董事会顾问
  • 批准战略性组织目标和政策
  • 推荐相关信息支持的目标和政策
  • 制定战略决策
  • 根据组织的使命和战略远景制定决策,并向董事会提供详细记录的建议
  • 建立适当的风险承受力水平
  • 进行风险评估,减轻和监控风险,并向董事会提供有关组织主要风险的定期更新
  • 监督管理和组织绩效
  • 以简明,上下文或可比较的格式向董事会提供透明,完整,及时的信息
  • 响应对其他信息的请求
资料来源:改编自B. S. Bader(2008),“将治理与管理区分开”,Great Boards,第第八号
主题标签
3 回覆
太极
帖子:83
主持人
(@太极)
会员
已加入:8个月前

通常,治理是指负责企业的人员(例如,公司的董事会和执行管理人员,联邦机构的机构负责人)行使的一套职责和实践,旨在提供战略指导,确保目标是
实现,确定风险得到适当管理,并验证企业资源得到合理使用。4风险和资源可以与不同领域(例如,信息技术或IT,财务,法律和法规遵从性,信息安全)以及不同领域相关联需要专业知识才能管理风险。从而,
企业治理通常是按域组织的。5

 

网络安全治理是企业治理的组成部分,它解决了在存在对手的情况下企业对网络空间的依赖性。6网络安全治理因此包括信息系统安全治理;因此,网络安全治理包括信息系统安全治理。信息系统是否安全 治理可以通过信息安全来识别治理取决于
7但是,尽管信息安全治理的各个方面可能涉及网络空间之外的信息,但非网络领域和网络领域之间的信息流如此普遍,以至于
对于网络安全治理而言,最好包含信息安全治理。

 

注意: //www.mitre.org/sites/default/files/pdf/10_3710.pdf

 

 

 

法规遵从 分层网络安全治理框架™ (HCGF)对必要的文档组成部分有全面的了解,这些组成部分对于能够证明尽职调查和适当注意的证据至关重要。该框架解决了政策,控制目标,标准,准则,控制,风险,程序之间的相互联系& metrics. 的 安全控制框架(SCF) 通过提供组织需要实施以保持安全性和合规性所需的必要网络安全性和隐私控制,来适应此模型。

2020-hierarchical-cybersecurity-governance-framework.jpg

 

回复
太极
帖子:83
主持人
(@太极)
会员
已加入:8个月前

的 法规遵从 综合网络安全治理模型™ (ICGM) 对治理网络安全和隐私计划有一个全面的了解。没有更广泛的运营概念 治理,风险&合规(GRC)/综合风险管理(IRM) 在职能上,组织通常会发现他们的治理,风险,合规性和隐私团队在他们的思维和操作方式上很孤立。这些孤立的职能和不明确的角色通常是由于缺乏对这些特定职能如何组合在一起以在各个团队之间建立共生工作关系以实现对人员,流程和技术的质量控制的战略了解。

 

ICGM利用 计划,执行,检查& 法案 (PCDA) 设计治理结构的逻辑方法的方法:

  • 计划。整个GRC流程与计划息息相关。该计划将定义组织的政策,标准和控制。它还将直接影响组织购买的工具和服务,因为技术购买应满足政策和标准定义的需求。
  • 。可以说,这是网络安全和隐私从业者最重要的部分。控制是使流程,应用程序,系统和服务安全的“安全胶”。程序(也称为控制活动)是实际执行和执行控制的过程。的 安全控制框架(SCF) 如果您的组织缺乏一套全面的网络安全和隐私控制措施,则可以将其作为控制措施的理想起点。
  • 检查一下。简单来说,这就是情境意识。只有通过通过度量标准进行报告并审查审核/评估的结果,才能实现态势感知。
  • 法案。这本质上是风险管理,它是一个涵盖领域,涉及解决两个主要概念:(1)当前存在的实际缺陷;(2)对组织的潜在威胁。

 

 

回复
太极
帖子:83
主持人
(@太极)
会员
已加入:8个月前

治理:

  • 目标
  • 政策规定& Standards
  • 策略生命周期管理

风险管理:

  • 风险评估
  • 风险评估
  • 风险监控
  • 风险缓解

合规性:

  • 更换管理层
  • 项目评估
  • 建筑评论
  • 配置管理

 

治理方法:

  • 建立和促进积极的文化
  • 验证对网络安全的投资和一致性
  • 强制和确保网络安全计划
  • 要求有关网络安全计划的报告

期望的治理结果:

  • 网络安全与业务战略的战略统一
  • 更好的风险管理
  • 更好的资源管理
  • 更好的性能评估
  • 改善价值传递

NACD基本实践( //www.nacdonline.org)

全国公司董事协会

  • 将网络安全问题列入董事会议程
  • 确定并支持网络安全领导者
  • 确保网络安全政策的有效性
  • 将网络安全分配给关键委员会并提供支持

网络安全治理要求:

  • 风险管理方法
  • 综合策略
  • 安全结构
  • 以信息为中心的策略
  • 安全政策
  • 安全标准
  • 监控程序
  • 持续评估和更新

CGTF治理方法

  • 进行年度网络安全评估
  • 进行定期风险评估
  • 实施政策和程序
  • 实施安全管理结构
  • 制定计划并采取行动
  • 将网络安全视为SLC的组成部分
  • 为个人提供网络安全意识培训和教育
  • 进行定期测试和评估
  • 制定补救计划
  • 制定事件响应程序
  • 建立运营连续性
  • 使用安全性最佳做法指南

ISO / IEC 27014:2013-IT-安全技术-信息安全治理

  • 建立组织范围的网络安全
  • 采用基于风险的方法
  • 设定投资决策方向
  • 确保符合要求
  • 营造积极安全的环境
  • 根据业务成果审查绩效

评估-直接-监控-沟通-确保

回复
分享: