Security Governance 安全治理
支持、定义、指导组织安全工作的实践。把安全从”技术部门干的事”上升到”组织战略级别”的管理。
跟 Security Management 的对比:
- Management = 日常运营,执行安全任务
- Governance = 设定方向、决策权、问责机制
Governance 关心什么
- 方向: 安全目标是什么?跟业务目标怎么对齐?
- 角色: 谁对安全负责?CISO 向谁汇报?
- 政策: 公司层面的安全政策由谁批准?
- 预算: 安全花多少钱?
- 风险偏好: 我们公司能接受多大风险?
- 问责: 出事谁负责?
- 审计: 怎么验证安全工作有效?
关键岗位
- CISO (Chief Information Security Officer) —— 首席安全官,通常向 CEO 或 CIO 汇报
- DPO (Data Protection Officer) —— 数据保护官,GDPR 等强制要求
- Security Steering Committee —— 跨部门高层组成的指导委员会
为什么 Governance 重要
- 安全不只是技术问题,是组织决策问题
- 没有 Governance:
- 安全部门跟业务部门打架
- “做了很多事但不知道有没有用”
- 预算时被砍 → 出事时被骂
- 有 Governance:
- 风险决策有依据
- 跨部门同步
- 合规审计能过
框架支持
NIST CSF 2.0 新加了 Govern 功能,显示业内对治理重视度上升:
- 政策制定
- 风险管理战略
- 角色责任定义
- 监督和审查