风险管理标准
1)风险管理
引领开放的风险管理方法论开发
风险管理是开展信息安全工作必不可少的要素,是有效保证信息、IT资产和关键业务流程安全的基石。风险管理的正确实施无疑是一个挑战,面对林林总总的风险管理框架和标准,从业者很难判断从何下手,采用何种方法论。
The Open Group充分认识到风险管理的重要性,在该领域做了许多重要工作并且仍将继续下去。除下列标准和指南外,The Open Group还引入了The Open FAIR知识体系以及相应的风险分析师认证项目,称为面向个人的The Open Group FAIR认证项目。
Open FAIR知识体系
Open FAIR 知识体系为信息风险的理解、分析和度量提供了分类依据和方法,使组织得以:
- 使用标准分类法和术语,以统一语言描述风险并与公司高管层有效沟通
- 持续研究并将风险分析原则应用于任何事物或资产
- 以全局视角看待组织风险
- 就风险决策展开讨论
- 比较缓解风险的可能措施
Open FAIR知识体系包含下列 The Open Group标准:
- 风险分类标准 (O-RT). 该文档提供了信息安全风险的标准定义和分类方法,以及如何使用分类法。其目标读者包括任何需要了解和/或分析风险状况的人士,包括但不限于信息安全和风险管理专业人士、审计师和监管部门、技术专业人士和管理层。该标准基于FAIR(Factor Analysis of Information Risk信息风险要素分析)。
- 风险分析标准 (O-RA). 该文档是风险分类标准的姊妹篇,描述了风险分析的流程要素,同样,该标准也以来自FAIR的实践为基础。
2)网络安全
保护重要基础设施免受网络威胁构成了巨大挑战。对于需要有效管理关键基础设施安全的政府部门及企业而言,网络安全挑战是一个愈演愈烈的现实问题。
The Open Group的一系列论坛和工作组专注于应对网络安全挑战的各个层面,以及其章程中涵盖的其他领域。就网络安全这一重要议题而言,论坛和工作组的侧重点列举如下:
- 安全论坛专注于安全架构和信息安全管理,论坛产出开放标准、指南、最佳实践及其他面向客户从业者和厂商的可交付物。
- 通过使用开放标准开发安全可靠系统,实时嵌入式系统论坛为核心技术供应商、集成商和客户提供确信的可靠性。论坛交付物包括白皮书、标准、指南和标准符合性认证。
- 可信技术论坛致力于开发工程、产品开发、安全开发、供应链完整性和评价方法领域的一系列最佳实践。同时,论坛也开展面向符合O-TTPF最佳实践的供应商的认证和符合性项目。
- 云计算工作组致力于云安全参考架构的开发。
欢迎您与我们在The Open Group论坛和工作组中开展合作,提升网络安全水平。
3)信息安全管理
The Open Group拥有各种正在进行的计划和工作组,以帮助安全从业人员更好地管理其信息安全管理系统(ISMS)计划。
4)安全架构
开发安全架构的方式分为两种:“内置式”和“外接式”。安全专业人士熟知:在安全架构开发早期即融入安全要求和相关的安全制品更为有效。The Open Group安全论坛致力于就信息安全涉及的不同主题开发标准和指南。The Open Group拥有丰富经验,并通过论坛帮助会员企业实现有效安全架构的高效开发。
集架构开发和安全领域专业知识之大成,the Open Group引领行业建立一致可靠的标准,开发安全架构,是当之无愧的领航者。
安全架构领域的发布物包括:
• O-ESA标准
• O-SCOA指南
• 安全原则白皮书
