0x00 前言

本文主要是记录关于安全治理的原则的相关知识点以及自我理解的部分，更多的是对知识的一个了解。个人还是认为，企业的网络安全治理是自上而下的一种连续行为，如果不是自上而下完成，则会成为整体安全治理的短板。

0x01 安全治理基础知识

安全治理（security Governance）

1.什么是安全治理：

由高级管理层指定和表达的组织安全目标，需要和各个组织的不同层级进行沟通，确保一致性，实施和落地。

2.安全治理的目的：

感觉安全治理的目的是从领导层开始，通过各级的整治，达到组织安全的目的。

3.安全治理计划对比

这个资料是One in all中给的例子，可以参考一下，但是安全治理这个东西是需要自上而下的进行推动的，单靠安全部门是推不起来的，并且如果是没有大刀阔斧的改革，已经成型的企业很难进行更改，除非在安全方面吃了很大的亏，在没有吃亏之前是不会意识到安全的重要性的。所以安全部门或者负责人的考虑中要多一条如果让领导人意识到安全的重要性。

0x02 企业安全架构

企业安全架构（Enterprise Security Architecture ESA）是企业架构的子集。

ESA定义了信息安全策略，包括分层次的解决方案、流程和公众程序，以及这些分层次的解决方案、流程和工作流程与整个企业的战略，战术和运营的关联方是。

ESA使用全面且严格的方式描述组成完整ISMS（信息安全体系）的所有组件的结构和行为。

1.ESA的目的

确保安全工作以一种标准化且节省成本的方式，与业务运营时间相结合。

2.如何判断组织是否部署了企业安全架构

• 在整个组织中，安全是Silo工作模式吗，Silo意识就是只看得到自己不管它人的工作模式
• 高级管理人员和安全人员的工作是否长时间脱节
• 为不同部门同样的安全需求重复购买了类似的安全产品
• 指定的安全计划仅由顶层安全策略责成，没有实施和执行
• 基于业务需求，用户访问需求增加时，网络管理员未经客户经理的书面批准就可以任意修改访问控制吗
• 推出一个新产品后，出现意想不到的互操作性问题（协作性）是，需要额外的时间和费用解决吗
• 出现安全问题，会有很多一次性的行为，而不是按照标准流程处置
• 业务部门经理并不清楚自己的安全责任，也不知道安全责任如何映射到法律和监管要求
• 敏感数据咋策略中有定义，但必要的控制措施没有得到充分的实施和检测
• 实施的单一问题解决方案而不是企业级解决方案
• 代价高昂的故障是否重复发生
• 因为企业没有以全面的标准的方式持续检测或检查，所以安全治理通过无效
• 所做的业务决定没有考虑安全要素
• 安全人员作为紧急救火队，四处酒厂，没有真正花时间审视和创建信息安全战略和策略
• 安全工作仅在某些业务部门生效，其他业务部门对此一无所知

3.舍伍德业务应用安全架构（Sherwood Applied Business Security Architecture）

SABSSA是一个分层的架构，但是这个架构没有怎么研究，后期如果有需要的话可以探究一下

4.企业安全架构的要素

4.1 战略一致性 Strategic Alignment

企业安全架构能够满足业务运行驱动因素、监管合规和法律法规的要求。 安全的存在目的在于保护整体环境。需要协调，业务部门，IT部门和安全部门。

4.2 业务支持 Business Enablement

业务支持功能是要求核心业务流程应集成到安全运营模型中，基于标准设计而且符合风险容忍度。安全为业务的安全性负责，支持和支撑业务想法。比如疫情期间，需要远程办公，则VPN的安全性以及用户的身份校验则成为了重中之重。

4.3 流程强化 Process Enhancement

当组织想要真正保障环境时，应细致查看每个持续执行的业务流程，从安全角度审视业务流程。

4.4 安全有效性

这一条后面进行补充。

0x03 组织流程

1.并购

公司随着发展，通过和另一家公司合并或者直接收购的方式获得新的能力。

1.1 安全影响

• 除了并购获得的业务，同时承担对方的安全问题和负担
  • 并购目标存在大量的敏感信息泄露
  • 大量的漏洞

1.2 安全措施

• 在合并或者收购前进行全面的安全审计

2.资产剥离

和并购相反，公司出售自身的一部分。

安全部门需要做的事情是，尽可能消除安全问题和影响，提出解决措施，或者缓解办法。

3.治理委员会

审查组织的结构和行为，并将调查结果通告给董事会。主要目的是为了了解组织中谁承担了什么责任，在安全团队来看，可以明确每一个人的职责，就可以确保在对应的安全环境中提供帮助。

0x04 组织角色和责任

层级：

• 高级管理层和其他管理层了解组织的愿景、业务目标和各项指标。高级管理层对组织的安全负有最终责任
• 职能管理层 了解个字所在部门如何开展工作，在组织中扮演什么角色，以及安全性如何直接影响其负责的部门
• -运营经理和员工，组织的实际运营层。运营经理和员工熟知技术和工作程序的具体要求，熟悉业务系统以及如何使用业务系统的细节。

每一个层级都应该对安全性在组织中扮演何种角色提供不同的见解，每一个层级都应该积极参与确定最佳安全实践、工作程序和控制措施，确保为目标安全级别提供必要的保护，而不会对组织生产经营造成负面影响。

1.执行管理层

执行管理层对组织中发生的每件事情负最终责任，因为是业务运营和管理职能的最终所有方。

1.1 CEO 首席执行官

负责组织的日常管理工作，CEO通常是董事会主席，管理组织的财务、战略规划和业务运营。

1.2 CFO 首席财务官

负责组织的会计和财务活动

1.3 CIO 首席信息官

负责组织内信息系统和技术的战略使用和管理。负责管理组织日常技术运营。

CIO的职责已经扩展到与首席执行官合作，参与业务流程管理，增加营收并使用组织的基础技术设施完成业务运营策略。

1.4 CPO 首席隐私官

负责确保客户、组织和员工数据的安全，从而帮助组织远离刑事和民事法庭。具有隐私法律经验的律师，直接参与指定数据如何收集、保护和分发给第三方的策略。

CPO需要指定组织的策略、标准、工作程序、控制措施和合同协议， 确保隐私要求得到满足。（这不就是类似于法务部门嘛）

1.5 CSO 首席安全官

负责了解组织面临的所有风险，并将这些风险降至业务可接受水平，负责和维护一套安全计划，指定各项合规安全机制，帮助组织从法律法规和监管合规要求，以及客户期望的或合同指定的安全义务。

2. 数据所有方

• 通常是管理层的成员，负责特定的业务单元，并最终负责保护和使用特定的数据子集。
• 数据所有方应对数据做到适度的关注，然后对任何导致数据损坏，或者泄露的疏忽行为责任。
• 数据所有方负责确保安全控制措施有效，基于分类分级和备份需求制定安全防护水平，负责批准必要的信息披露，确保指定了合理的访问全新啊，负责定义用户访问标准。

简单说，就是需要制定数据保护策略以及数据丢失的追责问题。

3.数据托管方

负责维护和保护数据，通常由IT部门、安全部门或两者协同担任。

主要的职责包含：

• 维护安全控制措施
• 定期备份数据
• 定期验证数据的完整性
• 从备份介质中回复数据
• 维护数据留存记录
• 安全策略
• 信息安全标准和数据保护的规定

4.系统所有方

• 负责一个或多个业务系统，每个系统可以保存或处理不同数据所有的数据。
• 将安全考虑纳入应用程序和系统采购决策以及软件研发项目中。

控制措施：

• 口令管理
• 远程访问控制的安全性
• 操作系统配置的安全性

5.安全管理员

负责在企业中部署和维护特定的网络安全设备和软件，包括防火墙，IDS、IPS，恶意软件工具，安全代理，数据防丢失。

基本任务：

• 创建新的系统用户账户
• 部署新的安全软件
• 测试安全补丁
• 指定新的口令策略

6.主管

也就是经理，最终对所有用户活动以及这些用户创建和拥有的任何资产负责。

7.变更控制分析师

安全可控地执行任何变更，并且指定专人对此负责，相当于是作为变更检测。

8.数据分析师

确保数据以对组织和需要访问和使用数据的组织员工最有意义的方式存储，

9.用户

使用数据完成工作任务的任何个人

10. 审计师

定期检测每个人是否都已经履行其工作职责，确保控制措施运转正常并且是安全的。