資安治理的績效評估,可分為下面三種:
1.優化型:做了會更好
2.流程型:根據風險管理方法論,將風險降低為可接受風險等級的水準
3.合規性:不做不行
多數會依循CMMI的方法,分為5級,如下:
1.有做:派一個人去負責,有做資安
2.有管理:複數人員負責資安,有人員管理作業
3.有流程化:有程序書規範相關作為
4.有績效改進:有透過設定績效量測目標,優化治理。
5.創意型:有管道讓管理人員提出創新型的作法優化
來源:技術服務中心
分成 策略面/管理面/技術面,以各別能力度取最小值,為該領域的成熟度。
舉例:技術面取 min (網路安全能力, 系統安全能力,應用系統開發能力)。
可以透過前面所說的OGSM制定一頁資安計畫配合可衡量的指標,重點是資安是配合公司治理目標,切勿本末倒置,為了做而做....
iThome鐵人賽
看影片追技術