在信息安全范畴之内,CISSP认证始终是用以衡量专业能力的黄金标准,第七版官方学习指南方面所讲述的使命映射也就是MMAP框架,把我们设计以及实施安全控制的方式给彻底改变了,它把安全从技术细节层面提升至战略层面,保证每一个控制措施都能够直接对组织的核心业务目标起到支撑作用,理解MMAP,意味着我们能够说出业务的语言,而并非仅仅是技术的行话。。
MMAP如何帮助企业实现业务目标
传统安全实践常常聚焦于技术漏洞以及合规清单上,极易跟业务实际需求相脱节,MMAP框架要求我们从组织核心使命着手,首先去明确关键业务资产和流程,安全团队要与业务部门紧密协作,识别出哪些业务目标最为需要保护,而后才推导出具体安全需求,这个过程保证了安全投入直接服务于业务连续性与竞争力,避免了为安全而安全造成的资源浪费。
借助使命映射,安全并非成本中心,而是业务赋能者,举例来说,保护客户数据,不只是为满足法规,更是为维护品牌信誉及客户信任,这与企业收入和市场份额直接相关,所以安全控制设计,更具针对性,也更易获业务部门理解与支持。
MMAP在风险管理中的具体应用
MMAP的核心价值所在,是其把风险管理跟业务决策深度予以融合,在应用MMAP之际,我们需优先做业务影响分析,识别出对使命成功有着至关重要意义的信息资产,之后,针对这些关键资产,我们剖析其面临的威胁以及自身的脆弱性,评估有可能造成的业务影响,这一连串分析给后续的风险处置决策提供了清晰的业务上下文。
在完成风险评估以后,MMAP引导我们挑选适配业务影响的安全控制,像是针对一个直接对收入造成影响的核心交易系统,我们或许会去部署更为严格且成本更高的控制举措,而对于一个并非核心的内部系统,可能会采用标准化的基线控制,这样一种差异化的方式保障了有限的安全资源施加于最能够产出业务价值的地方。
如何将MMAP整合到现有安全体系
将MMAP整合进现有安全体系里,并非是要去推倒重新来一遭,是一个逐步慢慢推进的优化进程。第一步要对现有的安全控制措施开展一回全面化的映射,剖析每一项控制措施背后所依托支撑的业务目标到底是什么。好多组织会发觉,部分控制措施跟关键业务目标关联甚是微小,一些重要的业务目标却欠缺充足的安全覆盖范畴 。
关键点在于建立持续改进机制,此为整合的关键所在;安全团队要定期跟业务领导回顾MMAP分析结果,特别是在业务战略或者市场环境产生变化的时候;这情况确保了安全体系能够动态适应业务发展;与此同时,把MMAP的输出跟现有的GRC平台以及安全管理流程对接,能让业务导向的安全思维固化成组织的标准操作程序。
在你于将安全控制跟业务目标进行对齐的实践期间,所碰到的最大挑战究竟是什么呢,是不容易获取业务部门的理解,还是缺少有效的分析工具呢,欢迎于评论区分享你的经验,要是觉得本文有帮助,请毫不吝啬地进行点赞以及分享。
主题测试文章,只做测试使用。发布者:qinglinet,转转请注明出处:https://www.qlw.net/%e4%bf%a1%e6%81%af%e5%ae%89%e5%85%a8%e7%b1%bb/cissp%e5%9b%bd%e9%99%85%e6%b3%a8%e5%86%8c%e4%bf%a1%e6%81%af%e5%ae%89%e5%85%a8%e4%b8%93%e5%ae%b6/cissp%e8%ae%a4%e8%af%81%e7%ac%ac%e4%b8%83%e7%89%88%e5%ae%98%e6%96%b9%e6%8c%87%e5%8d%97%ef%bc%9ammap%e6%a1%86%e6%9e%b6%e5%a6%82%e4%bd%95%e5%8a%a9%e5%8a%9b%e4%bc%81%e4%b8%9a%e5%ae%89%e5%85%a8%e4%b8%8e.html