22、IT安全指标：安全改进计划（SIP）的全面指南

IT安全指标：安全改进计划（SIP）的全面指南

1. SIP的核心原则

建立有效的安全改进计划（SIP）来管理和支持安全测量活动时，需遵循几个关键原则，以确保努力能真正提升组织的安全性，而非仅收集数据。SIP概念基于以下三个核心原则：
- 安全测量项目和活动的文档记录
- 安全测量结果的共享
- 项目间及跨时间的协作

2. 开始前的考虑因素

2.1 管理支持与赞助

管理支持是任何安全计划的关键问题。若管理层不直接支持，长期成功的前景有限。许多高级框架都强调管理支持和承诺是成功的核心要素，但这种承诺往往难以获得且易因其他优先级而失去。

建议用稳定性换取雄心，争取主管或高级经理基于定期沟通和参与的支持，而非仅一份CIO的备忘录。应找到尽可能高级别的赞助者积极定期支持SIP，可能是CISO、低级经理或项目负责人。

2.2 人员配备和资源支持

使SIP有效需适当的人员和资源支持，但要求不必过于苛刻。SIP的许多工作是确保信息能提供给更多人，这需要组织、文档记录和实际的共享行动。

SIP的人员配备和资源分配取决于组织架构、安全团队规模和人员构成以及现有员工技能。起初不太可能有专门员工管理SIP相关活动，但至少应有一人负责确保测量项目结果得到妥善记录和存储。

可考虑与公司现有的知识管理（KM）团队合作，若没有正式的KM功能，可探索公司信息的其他传播方式，如内容管理系统或公司内部网。

3. SIP元素和目标的定义

3.1 定义安全

“安全改进计划”中的“安全”定义需明确。安全在不同情境下含义多样，本地定义虽常见，但难以在自身领域外衡量安全。

例如，在内部威胁案例研究中，安全被正式定义为公司员工成为安全事件根源的可能性，无论是否故意。此定义可协调和管理多个专注于预防内部安全事件的安全测量项目（SMP）。

3.2 定义改进

安全经理常将安全视为零和游戏，这种二元观点阻碍了更细致的保护方法。

例如，在漏洞评估中，团队利用漏洞获得系统根访问权限时，常夸大系统安全的完全妥协，而不考虑系统实际影响。因此，改进的定义应在更广泛的背景下考虑，不仅要纠正现有问题，还要找出根本原因，建立基线和SIP级指标以衡量改进程度。

4. 安全测量项目的文档记录

4.1 支持能力成熟度

能力成熟度概念源于国防研究计划，旨在从临时、无管理和冲突的流程活动向标准化、正式管理和测量的成熟流程活动转变。组织或功能的成熟度决定其从自身努力中学习并应用经验进行持续改进的能力。

例如，软件工程研究所的能力成熟度模型及其后续版本被广泛应用，国防机构也将其应用于军事和情报活动的指挥控制系统。知识组织和科学进步也是能力成熟度的体现。

4.2 SMP文档的基础

大多数安全项目都有一定程度的文档记录，测量项目可能需要更多上下文信息。若为测量项目构建目标 - 问题 - 度量（GQM）模板，已完成基本文档组件。

随着SMP进展，可从以下来源记录项目进度：
- 项目团队电子邮件和会议记录
- 文件、备忘录和项目演示
- 分析和项目发现
- 利益相关者和项目团队成员的反馈

SIP的基本文档组件可能包括：
- SIP概述模板，用于识别、描述和定义改进计划的目标
- 项目目录，用于跟踪单个SMP的目标、问题和指标
- 指标目录，用于记录所进行的测量活动的类型
- 分析目录，包含发现、经验教训以及对其他测量项目团队有用的机会和挑战
- 项目日志和其他知识捕获工具，用于收集目录或最终项目报告中未包含的项目特定信息

5. 安全测量结果的共享

5.1 共享测量数据的考虑因素

至少应广泛共享项目、指标、分析和经验教训的一般信息，甚至可在安全团队之外共享。增加安全性操作的可见性有助于非安全相关利益相关者更好理解并支持组织的信息保护策略。

无论选择何种方式共享指标结果，通常需考虑以下因素：
| 考虑因素 | 具体内容 |
| — | — |
| 文档存储位置 | 确定文档的存储地点 |
| 文档组织方式 | 是否进行索引和可搜索 |
| 访问控制 | 对文档设置何种访问控制以及开发何种访问批准流程 |
| 存储和维护时间 | 是否遵循公司记录保留时间表以及是否存档 |
| 文档追溯和真实性验证 | 如何追溯文档并确定其真实性 |

5.2 文档和信息共享工具

文档存储和管理属于企业内容管理范畴。如今大多数公司采用不同复杂程度的企业内容管理系统，从静态网页和文件共享到全面的企业内容管理套件。工具的选择不如管理的承诺重要，简单的解决方案如专用电子邮件别名结合文件共享也可提供足够的共享平台。

6. 跨项目和跨时间的协作

6.1 营造协作的安全测量环境

协作是一种社会功能，技术虽能促进但不能创造协作环境。在SIP中可通过以下方式鼓励更多协作：
- 管理支持：管理层应明确支持协作，提供协作工具并培训员工更有效地共享信息。
- 开放文档：使文档存储库和目录易于访问，与公司内容管理团队合作安全发布和宣传安全指标数据。
- “打破孤岛”：积极与IT安全内外的其他个人和团队联系，消除协作障碍。
- 使协作自然化：将协作融入日常活动，如会议议程和项目计划。

6.2 协作工具

如今有许多协作工具可供选择，开源和免费软件工具也很多。关键是组织要接受创建、传播和交换信息内容的价值。

以下是一个简单的SIP实施流程的mermaid流程图：

graph LR
    A[开始] --> B[获取管理支持]
    B --> C[确定人员和资源]
    C --> D[定义SIP元素和目标]
    D --> E[文档记录项目]
    E --> F[共享测量结果]
    F --> G[促进项目协作]
    G --> H[持续改进]
    H --> I[结束]

通过遵循这些原则和步骤，组织可以建立一个有效的SIP，提升安全性并促进持续改进。在实施过程中，要根据组织的实际情况灵活调整，确保SIP的有效性和适应性。

7. 人员配备与资源分配策略

7.1 与知识管理团队合作

若公司有现有的知识管理（KM）团队，与之合作是发展SIP人员配备的有效策略。这些团队了解信息共享的重要性，掌握相关技术和工具。例如，他们可能熟悉一些先进的文档管理系统和信息传播渠道，能够帮助SIP更好地组织和分享安全测量信息。

7.2 探索其他信息传播途径

若公司没有正式的KM功能，可以探索其他信息传播方式，如内容管理系统或公司内部网。以下是一些具体途径及优势：
| 途径 | 优势 |
| — | — |
| 内容管理系统 | 能够集中管理和存储各类文档，方便进行分类、检索和更新。可设置不同的权限级别，确保信息的安全性和访问控制。 |
| 公司内部网 | 是公司内部员工获取信息的重要平台，具有广泛的覆盖面。可以通过创建专门的安全板块，将SIP相关信息展示给员工，提高信息的可见性和共享性。 |

7.3 人员职责分配

在人员配备方面，虽然起初可能没有专门员工管理SIP相关活动，但必须明确至少一人负责确保测量项目结果得到妥善记录和存储。以下是不同人员在SIP中的职责示例：
| 人员 | 职责 |
| — | — |
| 安全改进计划负责人 | 负责协调各个项目，确保生成并存储适当的文档供未来使用，定期汇报项目结果。 |
| 项目团队成员 | 参与项目的具体实施，提供项目过程中的相关信息，如电子邮件、会议记录、分析结果等，用于文档记录。 |

8. 文档记录的重要性及实施要点

8.1 体现能力成熟度

文档记录是衡量组织能力成熟度的重要标志。一个成熟的组织会对其安全测量项目和活动进行详细、规范的文档记录。从临时、无管理的流程活动向标准化、正式管理和测量的成熟流程活动转变，文档记录起到了关键的推动作用。

8.2 实施要点

在实施文档记录时，需要注意以下要点：
- 提前规划 ：在项目开始前，就应考虑如何管理和收集项目文档所需的数据，避免事后从不可靠的来源重建文档。
- 多种来源收集 ：除了GQM模板，还可以从项目团队电子邮件、会议记录、文件、备忘录、项目演示、分析结果、利益相关者和项目团队成员的反馈等多种来源收集文档信息。
- 建立文档组件 ：按照SIP的基本文档组件要求，建立SIP概述模板、项目目录、指标目录、分析目录、项目日志等，确保文档的完整性和系统性。

9. 测量结果共享的深入探讨

9.1 共享范围和价值

共享安全测量结果不仅要在安全团队内部进行，还应扩大到非安全相关的利益相关者。这样做的价值在于：
- 提高非安全人员对信息保护策略的理解和支持，使他们能够更好地配合安全工作。
- 增加安全工作的透明度，有助于其他部门在合规和风险管理方面与安全团队更好地协作。

9.2 共享过程中的挑战及应对

在共享测量结果时，会面临一些挑战，如数据敏感性、访问控制等。以下是相应的应对措施：
| 挑战 | 应对措施 |
| — | — |
| 数据敏感性 | 对不同敏感级别的数据进行分类管理，设置不同的访问权限。对于敏感数据，采用加密传输和存储的方式，确保数据安全。 |
| 访问控制 | 开发完善的访问批准流程，明确不同人员的访问权限。例如，只有经过授权的人员才能访问某些关键的安全测量结果。 |
| 文档存储和维护 | 遵循公司的记录保留时间表，对文档进行定期备份和存档。同时，建立文档追溯机制，确保文档的真实性和完整性。 |

9.3 共享工具的选择

选择共享工具时，要根据组织的实际情况和需求来决定。虽然企业内容管理系统功能强大，但简单的解决方案如专用电子邮件别名结合文件共享也能满足基本的共享需求。关键是要确保工具能够有效地实现信息的共享和传播。

10. 协作的深化与拓展

10.1 长期协作的重要性

跨项目和跨时间的协作对于SIP的长期成功至关重要。通过协作，可以整合不同项目的资源和经验，避免重复工作，提高工作效率。同时，能够促进知识的传承和创新，使组织在安全领域不断取得进步。

10.2 深化协作的策略

为了深化协作，可以采取以下策略：
- 建立协作文化 ：管理层要带头营造协作的氛围，鼓励员工积极参与协作。通过培训和宣传，让员工认识到协作的价值和重要性。
- 定期交流会议 ：组织定期的项目交流会议，让不同项目团队分享经验、成果和遇到的问题。在会议中，可以共同探讨解决方案，促进项目间的合作。
- 激励机制 ：建立激励机制，对在协作中表现优秀的团队和个人进行奖励。激励可以是物质奖励，也可以是荣誉奖励，以激发员工的协作积极性。

10.3 协作工具的应用

选择合适的协作工具可以提高协作的效率和效果。以下是一些常见的协作工具及其特点：
| 工具 | 特点 |
| — | — |
| 项目管理软件 | 可以对项目进行全面的管理，包括任务分配、进度跟踪、文档共享等。例如，Jira、Trello等。 |
| 即时通讯工具 | 方便团队成员之间的实时沟通，如Slack、微信等。 |
| 在线协作平台 | 支持多人同时在线编辑文档、进行视频会议等，如Google Docs、Zoom等。 |

11. SIP实施的持续优化

11.1 建立反馈机制

为了确保SIP的持续有效性，需要建立反馈机制。通过收集项目团队、利益相关者的反馈意见，了解SIP实施过程中存在的问题和不足之处。例如，可以定期发放调查问卷，组织面对面的交流会议等。

11.2 数据分析与改进

对收集到的反馈数据进行分析，找出问题的根源和改进方向。根据分析结果，对SIP的流程、文档记录、结果共享、协作方式等进行调整和优化。例如，如果发现某个项目的文档记录不够详细，可以加强对该项目团队的培训和指导。

11.3 持续学习与创新

安全领域不断发展变化，SIP也需要不断学习和创新。关注行业的最新动态和技术发展，引入新的理念和方法，不断提升SIP的水平。例如，学习其他组织在安全改进方面的成功经验，结合自身实际情况进行应用。

以下是一个SIP持续优化的mermaid流程图：

graph LR
    A[开始] --> B[收集反馈]
    B --> C[数据分析]
    C --> D[确定改进方向]
    D --> E[实施改进措施]
    E --> F[评估改进效果]
    F --> G{是否达到目标}
    G -- 是 --> H[结束]
    G -- 否 --> B

通过持续优化，组织的SIP能够更好地适应不断变化的安全环境，为组织的安全保障提供有力支持。在整个SIP的实施过程中，要始终坚持核心原则，灵活运用各种方法和工具，确保SIP的顺利实施和持续改进。