信息來源:企業(yè)網(wǎng)D1Net
盡管治理�����、風險和合規(guī)性通常被視為獨立的功能��,但從這些基本要素的整體角度來看�,這表明它們之間存在著共享共生關(guān)系�����。
當涉及到網(wǎng)絡安全時�����,治理����、風險管理和合規(guī)性(GRC)通常視為減少安全威脅的一些方法。然而��,它們的重要性不應低估��。
集中的治理、風險管理和合規(guī)性(GRC)計劃為組織達到其安全性和合規(guī)性目標奠定了基礎���。如果做得好�����,這種積極主動的網(wǎng)絡安全方法可以最大限度地減少組織的被動事件響應��。
沒有GRC的網(wǎng)絡安全計劃是不完整的
網(wǎng)絡安全作為一個整體由三個要素組成:人員�����、流程、技術(shù)����。在這三個要素中,技術(shù)往往是最重要的���,因為它可以說是最簡單的因素��。但是���,要使組織成功實現(xiàn)其安全目標,則需要采用程序化��、靈活和可擴展的方法來考慮這三個要素�。
為了實現(xiàn)這一目標,有效的治理�����、風險管理和合規(guī)性(GRC)計劃至關(guān)重要�����,因為它可以確保采取整體觀點���,同時應對網(wǎng)絡安全這 一艱巨的任務�����。畢竟�����,使用前沿技術(shù)實現(xiàn)流程自動化并不能改善流程本身或結(jié)果����。
例如,安全運營團隊需要對安全事件進行監(jiān)控和緩解����。如果沒有治理、風險管理和合規(guī)性(GRC)計劃��,他們將無法了解事件的業(yè)務風險或合規(guī)性影響��,這意味著他們只能依靠技術(shù)和流程進行管理��,他們可能面臨以錯誤的方式對最不重要的問題進行優(yōu)先級排序的風險����。
治理、風險管理和合規(guī)性(GRC)具有共生關(guān)系
盡管治理��、風險和合規(guī)性通常被視為獨立的功能�����,但從這些基本要素的整體角度來看���,它們具有共享共生關(guān)系����。
治理可確保組織活動以支持業(yè)務目標的方式需要保持一致�。確定和解決與任何組織活動相關(guān)的風險,并以支持組織業(yè)務目標的方式進行處理�����。合規(guī)性允許所有組織的活動遵循法律和法規(guī)的方式進行操作��。所有這三個方面共同努力�����,可以創(chuàng)建一種方法�����,使安全體系結(jié)構(gòu)��、工程設計和運營與更廣泛的業(yè)務目標保持一致�����,同時有效地管理風險�����,并滿足合規(guī)性目標。
但是�,如何擴展治理、風險管理和合規(guī)性(GRC)程序并確保其嵌入組織中?
如何擴展治理����、風險管理和合規(guī)性(GRC)程序
就治理、風險管理和合規(guī)性(GRC)而言�����,并不能完全滿足需求��,也不一定非得如此;其應用程序的深度和廣度因組織而異��。但是���,無論應用程序的復雜性如何����,只要組織遵循最佳實踐����,就可以采用云計算服務、新興技術(shù)以及未知的未來創(chuàng)新對其進行轉(zhuǎn)換或擴展��。
治理
要建立基礎治理�,至關(guān)重要的是首先確定合規(guī)性要求。這意味著要調(diào)查和了解合同義務和合規(guī)性框架�����,并確定需要實施的必需或選定的標準�。
然后組織需要進行計劃評估,以了解當前配置文件的功能和成熟度�����,確定目標配置文件是什么��,并制定實現(xiàn)此目標的計劃����。組織的策略應考慮采購、DevSecOps�、管理、安全性和人力資源分配���,包括定義和分配職能�����、角色和職責�����。
最后��,組織需要更新和發(fā)布新的政策�、流程、程序來教育其員工�,并確保維護網(wǎng)絡安全和治理。組織的政策應明確符合其業(yè)務目標���。盡管組織的流程必須指定如何升級舊技術(shù)以采用現(xiàn)代的組織和管理技術(shù)��,以及組織的應用程序如何集成云計算服務和其他新興技術(shù)����。
風險管理
擴展治理�、風險管理和合規(guī)性(GRC)策略的第二階段是研究風險管理。對組織的各個方面以及每個業(yè)務線和資產(chǎn)類型進行風險評估至關(guān)重要�����。完成此操作后�����,組織將對其內(nèi)部的風險有充分的了解����,就可以實施計劃來減輕、避免�、轉(zhuǎn)移或接受每一層面、業(yè)務線和資產(chǎn)上的風險�����。
然后�����,風險管理框架可用于通過選擇可隨著業(yè)務增長和威脅態(tài)勢而不斷進行監(jiān)視和調(diào)整的控制和風險來跟蹤系統(tǒng)�。最后階段是將風險信息納入領導力決策中。簡而言之���,組織應該經(jīng)常詢問“做出這項決定對我們的業(yè)務將會在財務����、網(wǎng)絡、法律���、聲譽方面帶來什么樣的風險����?���!边@樣的問題,通過將這種方法嵌入組織的文化中�,可以確保組織完全了解風險位置,制定重要的業(yè)務決策��,并推動組織發(fā)展��。
合規(guī)性
與治理直接相關(guān)的是����,合規(guī)性有助于建立政策、標準和安全控制�。除了控制監(jiān)視生成的報告之外,組織還必須主動重新評估基安全功能���,并確保它們滿足組織的業(yè)務需要�。這意味著自動化應用程序安全性測試和漏洞掃描,從控制采樣中進行自我評估����,以及了解可能帶來重大風險的微小變化�����、危險信號和事件�����。
此外�����,組織還必須根據(jù)事件和風險變化調(diào)整流程���。隨著威脅的發(fā)展����,組織的安全態(tài)勢也應隨之發(fā)展����。為此��,將安全操作與法規(guī)遵從團隊進行集成以進行響應管理是至關(guān)重要的�,建立標準操作程序來應對意外更改也至關(guān)重要���。
在業(yè)務中優(yōu)先考慮治理�、風險管理和合規(guī)性
沒有有效的治理��、風險管理和合規(guī)性程序�����,就不可能制定強有力的網(wǎng)絡安全策略�。因此,如果組織要實現(xiàn)其安全性和合規(guī)性目標�����,則必須將其放在首位�����。這樣�,他們可以確保隨著業(yè)務的增長和法規(guī)的變化,擁有適當?shù)慕M件以進行擴展���、調(diào)整和發(fā)展�����。
通過與云計算服務提供商(如AWS)合作�����,組織可以支持、實施和建議治理����、風險管理和合規(guī)性項目,可以確保他們具有適當?shù)闹卫?����、風險和合規(guī)性����,從而可以應對當前和未來的復雜威脅。
