【IT GRC】扩展云、新兴技术和创新的治理、风险和合规计划

Chinese, Simplified

治理、风险和合规 (GRC) 计划有时被视为阻碍令人兴奋的网络安全工作的官僚机构。但一个好的 GRC 计划为满足安全性和合规性目标奠定了基础。网络安全的主动方法,如果做得好,可以最大限度地减少反应性事件响应。

在网络安全的三个组成部分——人员、流程和技术——中,技术被视为“简单的按钮”,因为相对而言,它比起草具有灵活性和特异性的适当平衡的政策或管理无数的组织原则和人力更简单行为。尽管如此,尽管我们在 AWS 推广技术和自动化,但我们也明白,使用最新技术自动化一个糟糕的流程并不会使流程或结果变得更好。网络安全必须将所有三个方面与可扩展的程序化方法结合起来。为实现这一目标,有效的 GRC 计划至关重要,因为它确保在处理网络安全的艰巨任务时采取整体观点。

尽管治理、风险和合规通常被视为独立的功能,但它们之间存在共生关系。治理为满足协调和支持业务的特定要求建立了战略和护栏。风险管理将特定的控制与治理和评估的风险联系起来,并为业务领导者提供他们需要的信息来确定资源的优先级并做出风险知情的决策。合规性是对特定治理要求的控制的遵守和监控。这也是在某些行业玩游戏的“赌注”,并通过持续监控,关闭有关有效治理的反馈循环。安全架构、工程和操作都建立在 GRC 基础之上。

如果没有 GRC 计划,人们往往只关注技术和烟囱式流程。例如,假设一名安全运营员工面临四个需要研究和缓解的事件。在没有 GRC 计划的情况下,员工将无法了解事件的业务风险或合规影响,这可能导致他们优先考虑最不重要的问题。

GRC

  • GRC has a symbiotic relationship

GRC 计划的广度和深度因组织而异。无论其简单性或复杂性如何,都有机会改变或扩展该程序,以采用云服务、新兴技术和其他未来创新。

以下是可帮助您完成旅程的最佳实践清单。该清单的主要内容是:以目标和能力为基础的治理,在决策中包括风险背景,以及自动化监控和响应。

治理



确定合规要求

 

  • __ 确定所需的合规框架(例如 HIPAA 或 PCI)和合同/协议义务。
  • __ 确定云或新兴技术的限制/限制。
  • __ 确定要实施的要求或选择的标准(例如 NIST、ISO、COBIT、CSA、CIS 等)。

进行计划评估

  • __ 根据 NIST 网络安全框架 (CSF) 或 ISO/IEC TR 27103:2018 等行业流程进行计划评估,以了解您当前配置文件的能力和成熟度。
  • __ 确定所需的最终状态能力和成熟度,也称为目标配置文件。
  • __ 记录资源分配的差距(人员、流程和技术)并确定其优先级。
  • __ 建立云卓越中心 (CCoE) 团队。
  • __ 起草并发布包含采购、DevSecOps、管理和安全的云战略。
  • __ 定义和分配功能、角色和职责。

更新和发布政策、流程、程序

 

  • __ 根据与您的业务相一致的目标和所需功能更新策略。
  • __ 更新现代组织和管理技术(例如 DevSecOps 和敏捷)的流程,指定如何升级旧技术。
  • __ 更新程序以集成云服务和其他新兴技术。
  • __ 建立用于选择控制和监控合规性的技术治理标准。

风险管理



进行风险评估*

 

  • __ 进行或更新组织风险评估(例如,市场、财务、声誉、法律等)。
  • __ 对每个业务线(如使命、市场、产品/服务、财务等)进行或更新风险评估。
  • __ 对每种资产类型进行或更新风险评估。

* 使用预先建立的威胁模型可以简化风险评估过程,包括初始和更新。

风险计划草案

 

  • __ 实施计划以减轻、避免、转移或接受每一层、​​业务线和资产的风险(例如,业务连续性计划、运营连续性计划、系统安全计划)。
  • __ 针对特定风险领域(如供应链风险、内部威胁)实施计划。

授权系统

 

  • __ 使用 NIST 风险管理框架 (RMF) 或其他流程来授权和跟踪系统。
  • __ 使用 NIST 特别出版物 800-53、ISO ISO/IEC 27002:2013 或其他控制集来选择、实施和评估基于风险的控制。
  • __ 实施对控制和风险的持续监控,最大限度地采用自动化。

将风险信息纳入决策

 

  • __ 将系统风险与业务和组织风险联系起来
  • __ 自动将持续的系统风险监控和状态转换为业务和组织风险
  • __ 包含“有什么风险?” (财务、网络、法律、声誉)纳入领导决策

合规



监控政策、标准和安全控制的合规性

 

  • __ 自动化技术控制监控和报告(高级成熟度将导致 AI/ML)。
  • __ 对非技术控制实施手动监控(例如定期审查访客日志)。
  • __ 将合规监控与安全信息和事件管理 (SIEM) 以及其他工具联系起来。

持续自我评估

 

  • __ 自动化应用程序安全测试和漏洞扫描。
  • __ 从控制抽样、整个功能区域和渗透测试中进行定期自我评估。
  • __ 对假设、观点和人工制品过于挑剔。

应对事件和风险变化

 

  • __ 将安全操作与合规团队集成以进行响应管理。
  • __ 建立标准操作程序以应对控制的意外变化。
  • __ 减轻影响并重置受影响的控制;尽可能自动化。

传达事件和风险变化

 

  • __ 为每种类型的事件建立报告树和阈值。
  • __ 在报告中包括总法律顾问。
  • __ 确保在需要时通知适用的监管机构。
  • __ 在适当的地方自动化。

原文:https://aws.amazon.com/cn/blogs/security/scaling-a-governance-risk-and-…

本文:https://jiagoushi.pro/node/1956

SEO Title
Scaling a governance, risk, and compliance program for the cloud, emerging technologies, and innovation