网络安全之安全治理_网络安全治理

安全治理是做信息安全以及网络安全的最重要的一步，只有组织明确了自己的安全治理方向、策略、程序等内容后。安全的措施、技术才能得以很好的实现。下面就来分享一下CISSP中有关安全治理的一些知识。

1.安全治理是与支持、定义和指导组织安全工作相关的实践集合。治理的目标是维护业务流程，同时努力实现增长和弹性。

安全治理通常由治理委员会或至少有董事会管理，他们主要任务是监督和指导组织安全与运营行动。

安全管理计划 确保正确地创建、执行和实施安全策略。

最能有效处理安全管理计划的一个方法是自上而下。上层、高级或管理部门负责启动和定义组织的策略。安全策略为组织架构内的各个级别提供指导。中层管理人员负责将安全策略落实到标准、基线、指导方针和程序。然后操作管理人员或安全专业人员必须实现安全管理文档中规定的配置。最后，最终用户必须遵守组织的所有安全策略。

安全管理计划内容包括：

定义安全角色规定如何管理安全、由谁负责安全如何检验安全的有效性制定安全策略执行风险分析对员工进行安全教育
1

战略计划（Strategic Plan）：是一个相对稳定的长期计划。它定义了组织的安全目的，还有助于理解安全功能，并使其与组织的目标、使命和宗旨一致。战略计划的有效期大约是5年，还包括风险评估。

战术计划（Tactical Plan）：是为实现战略计划中设定的目标提供更多细节而制定的中期计划，或可根据不可预测的事件临时制定。战术计划通常在一年左右的时间内有用，通常规定和安排实现组织目标所需的任务。包括项目计划、收购计划、招聘计划、预算计划、维护计划、支持计划和系统开发计划。

操作计