组织策略

安全基线 2020年1月17日 11:54 1 安全能力框架... 1 1.1 安全配置管理系统（SCM）... 4 2 SCM中的安全基线... 5 2.1 识别、发现能力建设... 6 2.1.1 定义... 7 2.1.2 范围... 7 2.1.3 角色、责任... 7 2.1.4 风险评估... 7 2.2 防护能力建设... 8 2.2.1 网络... 8 2.2.2 主机... 9 2.2.3 数据... 9 2.3 检测能力建设... 9 2.4 响应能力建设... 10 2.4.1 遏制/减轻... 10 2.4.2 补救... 11 2.5 恢复能力建设... 11 2.5.1 重建... 11 2.5.2 共享... 11 2.6 基线的管理... 11 2.6.1 基线的更新... 12 1 安全能力框架 在建立事件响应机制之前，必须存在基础的能力。这些基础能力用于保障数字资产/业务的 可用性、保密性、完整性 。 机密性、完整性和可用性的网络安全三位一体 安全基线=安全能力+安全能力上配置的安全策略。而安全基线是为业务系统生成的。 所以：业务系统的安全基线=为了满足业务可用性、保密性、完整性需求而使用的安全能力，以及安全能力上为业务系统配置的安全策略。 安全基线应该根据企业战略、业务属性生成，每个企业、每种不同类型的资产的基线都不一样。比如互联网公司业务

第二章 风险分析 风险管理 评估：确定并评估系统中存在的风险 分析：分析风险对系统产生的潜在影响 响应：规划如何响应风险的策略 缓解： 缓解风险对未来安全造成的不良影响 风险分析流程 资产确定 漏洞确定 威胁评估 可能性量化 影响分析 应对措施确认 风险分类： 自然 人为 系统 风险计算 ：ALE（年度损失预期， annual loss expectancy） = SLE（单一损失预期，single loss expectancy）* ARO（年发生率，annual rate of occurrence） Single Loss Expectancy (SLE) = AV(asset value) x EF(exposure factor) 风险响应的技巧 接受 ：承认并接受该风险及其带来的损失 转移：第三方，比如保险公司 避免：消除风险的来源 缓解： IDS等 风险缓解和控制类型: 技术控制：防火墙 管理控制： 用流程监控组织安全策略的服从情况 操作控制： 保护日常业务操作 损失控制： 灭火器、洒水系统 变更管理（change Management）：批准并执行变更的系统性方法，以确保信息技术服务达到最佳的安全性，稳定性，可用性。 分析： 变更的需求 变更的类型 组织文化 计划： 变更的角色 变更的职责 解决阻力 实施： 管理过渡阶段 确定采用变更 执行项目之后的审核

卡普兰和诺顿在2005年发现，十分之九的组织未能执行其战略。 唐纳德·萨尔（Donald Sull）在2015年的研究中发现，有45％的中层管理人员甚至无法说出其组织的重中之重。这些中层经理基本上负责执行该策略，但是显然他们不知道该策略是什么。95％的员工不了解或不了解其组织的战略。他们如何确保自己所做的一切实际上有助于实现该战略？ 目标和关键结果可帮助您的组织成为一个理想和充满挑战的工作场所，并拥有一条通往成功的明确道路，可以帮助团队始终如一地实现其目标。通过赋予团队更多的自主权，它可以帮助您的组织成为一个大家向往的工作好地方。您使他们对目标负责，而无需向他们指示他们如何实现这些目标。此外，您还可以让组织中的每个人看到组织想要去的地方以及他们的工作如何做出贡献。 Tita OKR让你更专注战略 通过更清楚地了解战略重点，并使它们对整个组织透明，可以帮助您找到成功的明确道路。这将帮助每个人专注于真正重要的事情。 通过遵循简单的OKRs-E结构，团队将能够始终如一地实现他们的目标。该OKR框架结构由实际工作计划推动，产生数据，因此团队可以确保他们确实在推动公司前进。 OKRs-E的剖析 现在，我们已经了解了OKR框架的意义以及它将为您的组织带来的价值，让我们仔细看一下OKRs-E的结构。 OKRs-E 目标管理和计划执行软件 目标告诉您去哪里。目标是渴望并设定方向的陈述。