于信息安全领域有着多年从业经历,我深切明白CISSP认证所具备的价值以及面临的挑战。在第七版官方学习指南之中所提及的MMAP,也就是任务导向型管理方法,它不单单是考试的重点内容,更是在实际的安全管理工作里占据核心地位的方法论。它着重突出要把安全控制措施跟业务目标紧密地结合在一起,使得安全从成本中心转变成价值创造者。
MMAP于CISSP考试里占据着关键位置,鉴于其意味着从技术思维朝着管理思维的转变。诸多安全从业者惯于留意防火墙规则或者入侵检测系统配置,然而却忽视了安全措施跟业务需求的对接关联。MMAP框架要求我们先去领会组织的使命、目标以及业务流程,之后才能够设计出切实有效的安全控制措施。
于实际工作当中,我见识过超多安全项目因与业务实际相脱离进而失败 。举例而言,某金融机构耗费巨额资金去部署极为先进的 DLP 系统 ,然而因未对销售团队的实际工作流程予以考量 ,致使系统上线之后业务效率急剧下降 。这恰恰就是 MMAP 所要处理的问题 ,它教导我们怎样把安全需求转变为业务语言 ,从而获取管理层的支持 。
MMAP如何应用于实际工作
采取MMAP时首先得实施业务影响方面的剖析,就如某电商平台的实例,我们先是辨认了身为关键业务目标的“交易系统可用性”,接着又推导得出了与之相应的那些安全需求,依据这些所设计的安全控制举措涵盖冗余架构、DDoS防护以及应急响应计划,而这些均直接对业务连续性起到支撑作用。
在开展执行进程之中,MMAP着重突出阶段性的交付以及持续不断的改进。我们并非会一次性去部署全部的安全控制,倒是会优先着手处理高风险的领域,借助试点项目来验证成效,接着才循序渐渐予以推广。这种方式不但削减了项目的风险,还使得业务部门更易于接纳安全变革,规避了“一刀切”所引发的阻力。
MMAP实施常见误区与对策
不少组织于推行MMAP期间陷入了这么一个误区,即过度文档化,我曾审计过一家 firms,这家公司的MMAP文档竟长达数百页,然而其实际执行却仅仅是走走形式,有效的MMAP理应是精炼且具备可操作性的,其重点聚焦于关键风险决策的记录以及跟踪,并非去创建大量的文书工作 。
常见的另外一个问题是欠缺持续维护,MMAP并非是一次性的项目,而是持续的管理进程,建议构建定期的MMAP评审机制,至少每季度回顾一回,当业务环境出现重大变化时更要及时予以更新,只有把MMAP融入日常运营之中,它才能够发挥真正的价值。
您于实施安全框架之际所碰到的最为重大的挑战究竟是什么呢,是获取管理层的支持这一情况呢,还是确保各个部门能够达成协作这种状况呢?欢请在评论区域分享您的经验哟,要是感觉本文具备帮助作用的话,请进行点赞予以支持呀。
主题测试文章,只做测试使用。发布者:qinglinet,转转请注明出处:https://www.qlw.net/%e4%bf%a1%e6%81%af%e5%ae%89%e5%85%a8%e7%b1%bb/cissp%e5%9b%bd%e9%99%85%e6%b3%a8%e5%86%8c%e4%bf%a1%e6%81%af%e5%ae%89%e5%85%a8%e4%b8%93%e5%ae%b6/cissp%e8%80%83%e8%af%95%e9%87%8d%e7%82%b9%e8%a7%a3%e6%9e%90%ef%bc%9a%e4%b8%ba%e4%bb%80%e4%b9%88mmap%e6%98%af%e5%ae%89%e5%85%a8%e7%ae%a1%e7%90%86%e6%a0%b8%e5%bf%83%e6%96%b9%e6%b3%95%e8%ae%ba%ef%bc%9f.html