我现在面临一个挑战:根据当前的人力资源和能力投入,评估我们公司的安全态势。我想问,是否有衡量网络安全水平的标准?对我来说,第一步最好做什么? 你现在问的这个问题,也是安全专业人员奋斗多年要解决的问题。在详细解答前,我必须告诉你令人失望的消息,没有正确有效的信息安全度量标准(there is no silver bullet for information security metrics)。真正评估信息安全计划有效性的唯一方法是,坐下来,评估该方案的目标,然后找到方法来衡量实现这些目标的进展。
这是一个高度的企业特定过程,根据企业的不同结果也会不同。 这就是说,当你为你的计划考虑网络安全……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
我现在面临一个挑战:根据当前的人力资源和能力投入,评估我们公司的安全态势。我想问,是否有衡量网络安全水平的标准?对我来说,第一步最好做什么?
你现在问的这个问题,也是安全专业人员奋斗多年要解决的问题。在详细解答前,我必须告诉你令人失望的消息,没有正确有效的信息安全度量标准(there is no silver bullet for information security metrics)。真正评估信息安全计划有效性的唯一方法是,坐下来,评估该方案的目标,然后找到方法来衡量实现这些目标的进展。这是一个高度的企业特定过程,根据企业的不同结果也会不同。
这就是说,当你为你的计划考虑网络安全性度量标准时,你可以选择许多数据源进行混合评估。以下是我喜欢的一些:
漏洞扫描结果:如果你在网络上运行了一个漏洞扫描器,它可以为你提供几个有趣的度量标准:
- 服务器上的关键漏洞的数量。
- 可通过防火墙的关键漏洞数量。
- 解决关键漏洞的平均时间。
系统配置合规信息:微软系统中心配置管理器(Microsoft System Center Configuration Manager)等工具可以为你提供关于工作站状态的详细信息。一些可用来作为安全度量标准的包括:
- 系统符合安全标准的百分比
- 防病毒和反间谍软件状态
安全事故频率:这是分割正确的底线:你的企业多久经历一次安全事故?这里的技巧在于确保你有一个一致性的定义,关于“事故”上升到了什么级别。否则,改变定义可能使数据错误。
以上是一些想法,可以让你开始一个全面的安全度量标准计划。请记住,要带着你的目标开始,然后跟据目标精心列出一些问题,这些问题将为管理提供关于信息安全计划和网络安全控制有效性的最好洞察。
作者
Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。
相关推荐
-
测试企业安全,网络安全消防演习是否行得通?
我的公司正在考虑开展安全消防演习或者甚至网络战游戏来测试我们的信息安全计划,这似乎是一项浩大的工程,那么,网络战游戏是否对企业有利?
-
如何抵御SAP漏洞?
最新研究显示,超过95%的SAP系统可能有潜在的灾难性漏洞。在本文中,专家Nick Lewis探讨了如何抵御这些SAP漏洞以及怎样保持ERP安全性。
-
信息安全人员和律师:有效合作的三个领域
法律团队在成功的信息安全计划中发挥着关键的支持作用。本文中专家Mike Chapple介绍了了信息安全专业人士和律师应联手合作的三个领域,并提供了促进有效合作的建议。
-
七步完善你的信息安全计划
信息安全计划是企业为了保障信息安全而必须监管的一套控制机制。它应当有一套有效的步骤。本文讨论改善此过程的七个步骤。