0x00 前言

企业安全治理流程包括以下六个方面

• 安全策略
• 安全标准
• 基线
• 准则
• 工作程序
• 实施

主要内容：

0x01 组织安全策略

安全策略是由高级管理层指定的一份全面声明，规定了安全在组织内扮演的角色。

安全策略可以是组织策略，关于特定问题的策略或关于特定系统的策略。

1.组织安全策略管理层确认内容

管理层确定如何建立安全计划，列出计划目标、分配职责、说明安全的战略和战术价值，并论述应该如何执行安全计划。

2.安全策略涉及内容

安全策略应该涉及

• 法律
• 法规
• 责任
• 如何遵从规定。
  组织安全策略为组织内所有的未来的安全活动提供范围和方向，确定高级管理层愿意接受的风险程度。

3.重要特征

• 组织业务目标驱动安全策略的创建。实现和执行。安全策略不应该阻碍业务目标的实现（安全是为业务保驾护航，而不是成为业务的绊脚石）
• 组织安全策略应该是一份为管理层和全天员工提供参考的、易于理解的文档（有落地参考手册）
• 组织安全策略应建立、实现安全性，并将其集成到所有业务功能和流程（安全接入流程）
• 应该借鉴并支持适用于组织的所有法律法规（安全策略必须在不违法的情况下指定）
• 应随组织的发展变化而审查和修订（有版本迭代更新）
• 每一次迭代都应该标注明日期，并实施严格的版本控制。
• 监管组织安全策略的部门和个人能够方便地查看该策略的内容。将安全策略内容发布在门户网站上（但是这个不会被抄袭吗，或许是匠心精神，可以去国外看看其他公司的安全策略，比如Google）
• 指定组织安全策略应考虑未来几年的状况。
• 组织安全策略表现出的专业水准能强化其重要性以及遵从的必要性
• 组织安全策略中不应包含任何无法理解的语言。
• 定期审核组织安全策略。

4.特定问题策略

特定问题策略也称为功能策略，主要处理管理层认为需要详细解释和关注的特定安全问题，确保建立一个完善的安全结构，帮助员工了解如何遵从这些安全策略。

• 邮箱邮件使用策略
• VPN使用策略
• 电脑软件使用策略

5.组织安全策略层级

• 可接受的使用策略
• 风险管理策略
• 漏洞管理策略
• 数据保护策略
• 访问控制策略
• 业务持续策略
• 日志聚合和持续审计策略
• 人员安全策略
• 物理安全策略
• 安全应用程序研发策略
• 变更控制策略
• 电子邮件策略
• 事故响应策略

6.安全策略的类型

• 监管性策略
• 建议性策略
• 指示性策略

0x02 标准

标准是指强制性活动、行动或规则，是明确的、详细的、可测量的。
安全标准可以规定如何使用硬件和软件产品，还可以指示用户的合理行为。

可以理解为标准 = 一定要做的事情，一定要遵守的事情

0x03 基线

基线是指在将来变更时用于比较的最终参考点。相当于是一条分数线，比如达到这条分数线才算是ok的。

非技术基线

• 要求员工佩戴持有照片的工作照
• 访问前台登记
• 参观需要陪同

以上的本人有幸在华为见到过这种保护基线

0x04 准则

准则是在没有特定标准可用时，向用户、IT人员、运营人员以及其他人员提供的建议性举措和运营指导。灰色地带的参考。

0x05 工作程序

工作程序是为了实现某个目标而执行的包含详细步骤的任务。类似于某些工具的使用手册，配置方案等，类似于wiki

0x06 实施

实施相当于是将整个安全治理流程的内容进行落地，通过各种方式提高安全意义，以及意识到安全的重要性。这势必会成为一个趋势。