首页 理论教育终端安全风险管理:构建PIOM过程,持续改进

终端安全风险管理:构建PIOM过程,持续改进

2023-11-23 理论教育 版权反馈
【摘要】:表7-1 各个步骤要做的工作总之,终端安全风险管理工作是个逐步改进完善的过程,基于PIOM过程模式构建和实施终端安全风险管理体系,是保证终端安全风险管理体系持续改进的有效方法。PIOM四个步骤成为一个闭环,通过这个环的不断运转,使终端安全管理体系得到持续改进,使信息安全绩效螺旋上升,如图7-1。图7-1 PIOM过程模式图采用有效的技术支撑手段是构建终端安全管理体系的关键之一。

在具体工作中,要不断评估和改进终端安全管理工作。终端安全管理工作是一个永不终止的生命周期,了解这一点非常重要。任何流程的生命周期都可以通过不同的方式进行描述。我们将使用以下步骤:

1.计划和组织(Plan and Oragnize)

2.实施(Implement)

3.运作和维护(Operate and Maintain)

4.监控和评估(Monitor and Evaluate)

各个步骤要做的工作参见表7-1。

表7-1 各个步骤要做的工作(www.chuimin.cn)

978-7-111-37390-2-Part03-1.jpg

总之,终端安全风险管理工作是个逐步改进完善的过程,基于PIOM(Plan and Oragnize-Implement-Operate and Maintain-Monitor and Evaluate,简称PIOM)过程模式构建和实施终端安全风险管理体系,是保证终端安全风险管理体系持续改进的有效方法。

PIOM四个步骤成为一个闭环,通过这个环的不断运转,使终端安全管理体系得到持续改进,使信息安全绩效(Performance)螺旋上升,如图7-1。

978-7-111-37390-2-Part03-2.jpg

图7-1 PIOM过程模式图

采用有效的技术支撑手段是构建终端安全管理体系的关键之一。基于终端安全防护体系与终端安全管理体系两个大部分的技术支撑,从技术和管理角度对终端安全风险进行管理、防护和控制,降低风险的发生。终端安全防护的重点在于及时有效地识别终端安全风险,快速实施安全应对措施,终端安全管理重点在于风险的综合分析和控制,对于需复杂分析方法和控制手段的风险依据其发展的不同阶段,按照事前、事中、事后运用相应的应对措施,以规避、减少或控制风险,实现对于终端安全风险的全过程管理。基于终端安全风险运作管理过程中终端的各类情况进行监测和风险分析,根据监测和分析的结果不断改进和完善风险监控和防护的策略,持续提升终端安全风险管理各个部分的能力,逐步使所有终端风险都处于可承受的范围之内。

有关终端安全风险管理的文章

  • 终端安全风险管理:构建方法 终端安全风险管理:构建方法

    因此,最好的办法是对终端安全管理工作采用一种生命周期式的方法。不遵循生命周期方法,往往会出现以下问题。......

    2023-11-23

    详细阅读
  • 终端安全风险管理-终端安全风险管理 终端安全风险管理-终端安全风险管理

    终端作为网络行为的发起者和执行者,终端安全问题是信息安全领域的重要组成部分。终端安全已经成为制约信息安全的瓶颈,尽管在安全技术和培训中已经投入了大量人力和资金,但终端安全问题仍频频发生。终端所发生的安全问题可简单归结为3类。......

    2023-11-23

    详细阅读
  • 终端安全管理揭秘-终端安全风险管理 终端安全管理揭秘-终端安全风险管理

    一系列安全事件后,在美国政府的资助下,卡内基·梅隆大学成立了全球第一个计算机应急安全响应组。因此,终端安全管理的实质就是识别终端安全风险,构建终端风险体系并对终端风险进行安全管理,从而避免终端安全风险事件的发生。......

    2023-11-23

    详细阅读
  • 终端安全风险管理:揭示3.5终端安全管理未来 终端安全风险管理:揭示3.5终端安全管理未来

    有相应硬件支持,将很大程度上解决纯软件终端安全产品存在的问题。综合趋势终端安全产品要和网关及其他安全设施密切配合,分工协作,才有可能构架全面完整的安全防护保障体系。终端安全的重要组成部分是设置管理或针对安全规范符合程度的检查、隔离和矫正。综上所述,终端安全管理体系的构建实施过程需要依赖完善的方法论,对体系建设过程提供内部审核、管理评审、外部审核等管理活动支持,保障体系的有效实施。......

    2023-11-23

    详细阅读
  • 构建终端安全管理体系,故障处理与风险管理 构建终端安全管理体系,故障处理与风险管理

    本文中主要阐述终端安全管理中的组织构成、人员角色和职责划分,具体参见7.4节“构建组织”。7)对于意外、灾难和入侵的处理,建立包含事件鉴别、事件恢复、犯罪取证、攻击者追踪的安全事件的紧急响应体系和机制,制定并遵照正确的安全事件处理流程,尽量减少安全事故和故障造成的损失,监督此类事件并从中吸取教训。......

    2023-11-23

    详细阅读
  • 风险管控全过程的终端安全管理 风险管控全过程的终端安全管理

    同时,将终端安全风险纳入到网络总体安全风险中,既可以作为单独的风险管理平台管控,又可以作为总体安全的一部分,从全局分析,并以此作为网络管理、风险告警和辅助决策的依据。1)事前对于高风险必须进行有效防范,防止此类风险的发生。2)事中当出现意外导致高风险的事件发生的时候,需要立即通知管理人员进行处理。根据风险的类别和危害程度,对大部分能够技术控制的尽量自动化、技术化管理。......

    2023-11-23

    详细阅读
  • 终端安全风险管理:终端安全应重视 终端安全风险管理:终端安全应重视

    基于风险评估得出的终端所面临多类实际信息安全风险,其风险个数很大。由于不同类别的信息安全风险所采取管控措施的优先级,通常也有很大的差别,如何针对数量庞大的风险及管控措施进行合理的规划,是一个很大的难题,因此对于规模比较庞大的组织,如何对风险评估后的管控措施进行统一、合理的规划至关重要。......

    2023-11-23

    详细阅读
  • 终端安全风险管理:基于风险来源 终端安全风险管理:基于风险来源

    针对不同的威胁来源的终端安全风险图谱见图6-7。其中终端安全技术平台自身的风险,暂不列在内。与基础安全风险相比,终端安全运行风险更具动态性,随着时间和相关环境条件的变化。3)信息安全风险指终端信息安全风险为终端中存储的信息,以及信息在传递过程中所面临的风险。......

    2023-11-23

    详细阅读