Gartner:企业安全体系常见四大误区
💡
原文中文,约1900字,阅读约需5分钟。
📝
内容提要
安全管理体系是企业的关键信息、安全原则、资源和活动的复杂生态系统。CIO在构建安全体系时,应避免设定不切实际的目标、引发摩擦但未降低风险的安全策略、无法引起利益相关者共鸣的信息传递、以及无法支持敏捷数字项目的中心化风险决策方法。CIO应与业务领导者讨论并决定平衡防护措施与业务运营需求,测试安全策略的可行性,阐述与业务成果相关的安全风险,培养员工的网络判断力。
🎯
关键要点
- 安全管理体系是企业的复杂生态系统,涉及关键信息、安全原则、资源和活动。
- CIO在构建安全体系时应避免设定不切实际的目标,需与业务领导者讨论平衡防护措施与业务需求。
- 设定旨在抵御所有攻击的安全目标是不现实的,企业应在防护措施与业务运营需求之间取得平衡。
- 安全策略应鼓励安全行为,避免引发员工的摩擦,确保策略的可行性。
- 安全治理应与业务成果相关联,CIO需阐述安全风险的业务价值以引起高管共鸣。
- 传统的中心化风险决策方法无法支持敏捷数字项目,CIO应培养员工的网络判断力以应对分散的风险决策需求。
➡️
