如何制定IAM程序战略

日期: 2025-11-23 翻译:邹铮 来源:TechTarget中国 英文

对于所有企业来说,正式的身份和访问管理(IAM)策略至关重要,因为它使安全和风险管理领导者能够交付他们的数字策略。最近的一项调查显示,仅仅拥有完善的书面IAM战略,就可以使企业实现其IAM目标的能力提高42%。然而,超过一半的专注于IAM的安全领导者报告说,他们的企业没有这样的策略。

安全领导者应制定有效的IAM程序战略,首先需要明确定义IAM程序的目标,并确定优先事项以实现目标。

IAM程序范围

有效的IAM策略始于明确定义项目范围,并与关键利益相关者进行初步对话,以了解他们的目标和优先事项。安全领导者必须根据要解决的具体问题或正在寻求的机会来定义IAM程序的范围。该范围应与利益相关者的支持和期望保持一致。

重要的是,安全领导者必须明确阐述他们计划的范围,与他们打算解决的身份人群(选区)有关,包括劳动力、客户、业务合作伙伴和机器IAM。如果企业单独管理其用户选区,请务必注意,有些功能可能会重叠,应在两个选区进行跟踪。

业务目标

IAM战略的核心是它会分析利益相关者的需求及其成功标准,并提供解决方案。利益相关者需求评估涉及安全领导者通过分析利益相关者及其需求来确定所需的结果和业务目标。这是整个程序的目标,因此,这是关键组成部分。

归根结底,整体IAM战略应从利益相关者需求评估中总结主要主题和预期结果。建议根据业务优先顺序排列顺序。

业务目标的示例包括启用和改进安全风险管理、业务支持、实现和维护监管和审计合规性以及成本管理。

安全领导人还应该制定一份执行摘要。这应该抓住安全和商业创新计划的精髓,并写给高级商业受众、董事会成员或业务线领导。在这里列出关键决策。关键目标是,在关键业务成果和目标(通过利益相关者分析确定)之间建立明确的联系。

衡量业务目标

安全领导者向高管传达IAM计划的价值至关重要。实现这一目标的最好方法是通过业务目标本身的结果驱动指标(ODM)。安全领导者应该为他们确定的每个业务目标至少有一个ODM

保护级别协议是高管和CIO/CISO之间的合同,为计划中的网络安全投资提供目标保护级别。将ODM与保护级协议相结合可以创造透明度,并实现持续沟通,以确定优先事项并告知更好的业务决策。

对于安全领导者来说,为了证明专注于安全风险的价值以及IAM如何为业务实现更广泛的愿景和战略,最佳方法是将IAM保护级别与ODM一起使用。

愿景声明

愿景声明以简明扼要的文本阐述了IAM计划的意图,没有技术术语,对非IT专业人员来说是可行的。安全领导者应该就 IAM 计划的目标写一份清晰、有抱负和令人印象深刻的陈述。它应该涵盖IAM计划旨在实现的中长期目标,符合路线图。

战略协调:项目重点领域和优先事项

在战略的这一部分中,安全领导者应该描述可以作为高级业务需求的粗粒度功能,按排名顺序。这些功能应该将利益相关者的需求和目标转化为该计划应该实现的有形、可衡量的目标。例如,为访问请求和履行建立单一点。

当前状态评估

安全领导将需要评估并准确描述其IAM能力的当前状态,包括运营支持水平。他们需要确定这些如何达到或未达到他们的业务目标和/或解决问题陈述。

随着安全领导者了解他们目前的成熟状态,他们可以开始定义相关任务,这些任务将帮助他们进步到一个新的水平。这可以在计划的 IAM 仪表板中跟踪。利益相关者和安全领导者应该深入了解这些任务,并帮助确定优先级,以充分利用计划中的可用资源。

愿景声明

愿景声明以简明扼要的文本阐述了IAM计划的意图,没有技术术语,对非IT专业人员来说是可行的。安全领导者应该就 IAM 计划的目标写一份清晰、有抱负和令人印象深刻的陈述。它应该涵盖IAM计划旨在实现的中长期目标,符合路线图。

战略协调:项目重点领域和优先事项

在战略的这一部分中,安全领导者应该描述可以作为高级业务需求的粗粒度功能,按排名顺序。这些功能应该将利益相关者的需求和目标转化为该计划应该实现的有形、可衡量的目标。例如,为访问请求和履行建立单一点。

当前状态评估

安全领导将需要评估并准确描述其IAM能力的当前状态,包括运营支持水平。他们需要确定这些如何达到或未达到他们的业务目标和/或解决问题陈述。

随着安全领导者了解他们目前的成熟状态,他们可以开始定义相关任务,这些任务将帮助他们进步到一个新的水平。这可以在计划的 IAM 仪表板中跟踪。利益相关者和安全领导者应该深入了解这些任务,并帮助确定优先级,以充分利用计划中的可用资源。

限制和依赖性、替代方案和影响

安全主管应确定限制IAM计划有效执行和运营的环境或组织条件。应确定这些限制和依赖性,以确保根据选定的项目重点领域对其进行评估。

还建议安全领导人包括可能影响本组织其他领域的潜在替代方案和影响。该战略的目标之一是证明选定的项目目标对组织来说是合理的,并且适合利益相关者的需求。这是通过根据特定用例对替代方案和影响的评估实现的,因为满足一系列需求的方法从来都只有一种。

现代IAM基础

当安全领导者试图使用结构化、利益相关者驱动的方法战略性地规划IAM计划时,可以创建现代化的IAM基础,成功提供大型企业所需的保证水平和灵活性。这帮助安全领导者提供增强的安全性和业务敏捷性,使他们的企业能够快速应对新的挑战和机遇。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐

  • 浏览器检测和响应完善安全计划

    针对性的检测和响应软件已成为网络安全的关键组成部分。现在,对于企业使用的每项技术,似乎都有专用的检测和响应工具 […]

  • 7个密码设置技巧和最佳做法

    关于密码的一切都很不方便,从创建密码到记住密码,再到使用密码。我们甚至还没有谈到保护密码。 不幸的是,恶意黑客 […]

  • 6个机密计算用例 保护使用中数据

    保护正在使用的数据(正在访问、处理或修改的信息),通常比加密动态或静态数据更难。为了解决这一安全差距,企业越来 […]

  • CISO的安全供应商整合指南

    现在市场上有非常多的网络安全供应商。与所有安全控制和工具一样,CISO应该评估他们是否需要这些现有供应商,以及 […]