CN1714327A - 安全成熟性评估方法 - Google Patents
安全成熟性评估方法 Download PDFInfo
- Publication number
- CN1714327A CN1714327A CNA038150425A CN03815042A CN1714327A CN 1714327 A CN1714327 A CN 1714327A CN A038150425 A CNA038150425 A CN A038150425A CN 03815042 A CN03815042 A CN 03815042A CN 1714327 A CN1714327 A CN 1714327A
- Authority
- CN
- China
- Prior art keywords
- information
- enforcement
- maturity
- strategy
- information security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/08—Insurance
Abstract
一种用于评估机构的信息安全策略和实施的方法,其中包括:确定与信息安全策略及实施相关的风险;收集关于信息安全策略及实施的信息;利用安全成熟性评估矩阵、所收集的信息以及与信息安全策略及实施相关的风险来生成评分;利用该评分来生成校正活动的列表,执行校正动作列表以创建新的安全性信息策略和实施,以及监测新的安全性信息策略和实施。
Description
背景技术
[0001]信息安全性包含防止信息无论是无意还是有意的未经授权公开、传递、修改或破坏。由于电子商务、电子商业、通用电子邮件和万维网访问以及完全公开的安全性开发的趋势,使得信息安全性已经成为机构普遍关心的问题。因此,机构不断尝试在团体架构中应用信息安全性原则。
[0002]为了使机构能够在团体架构中应用信息安全性原则,已经开发了许多信息标准和工具。一种广泛被接受的标准BS7799/ISO17799由英国标准协会(BSI)开发并为国际标准化组织(ISO)采纳。BS7799/ISO17799标准是概述信息安全性方面的最佳模式实施的一组综合控制。BS7799/ISO17799的目的是用作确定各种系统和机构的适当信息安全策略的单一参考点。BS7799/ISO17799标准包括10个部分,每个部分针对信息安全性的特定领域。参见“ISO17799安全标准:ISO17799 符合性和定位”,http://www.securityauditor/net/iso17799/。
[0003]管理对BS7799/ISO17799的符合性的过程是一项不小的任务。因此,已经研制了许多风险分析和风险管理的产品来帮助机构符合BS7799/ISO17799标准。这样一种产品是COBRA,它由C&ASystems,Inc.研制。COBRA用于使评估过程半自动化。COBRA利用一系列在线调查表来获得关于当前安全策略的信息。利用来自调查表的答案,COBRA相对于BS7799/ISO17799标准的各部分,根据合格/不合格来建立提供与机构的当前符合性定位有关的信息的报告。
[0004]已经研制用于使机构能够在团体架构中应用信息安全性原则的另一种工具是系统安全工程能力成熟性模型(SSE-CMM)。SSE-CMM源自最初为软件开发创建的软件工程协会(SEI)能力成熟性模型的原理。SSE-CMM描述必须存在以确保良好的安全工程的机构安全工程处理的主要特性。SSE-CMM没有规定例如BS7799/ISO17799的处理或标准,而是采用捕捉工业中一般观察到的实践的模型。另外,SSE-CMM基于一种成熟模型,它定义机构的整个生命周期的具体目标和实施。此外,SSE-CMM还定义机构中的安全工程的整体评估过程和职能。参见“系统安全工程能力成熟性模型-模型和评定方法概述,1999年4月”,
http://www.sse-cmm.org/。从应用SSE-CCM获得的评估通常没有与上报成熟性等级的报告工具相关。
发明内容
[0005]一般来说,在一个方面,本发明涉及用于评估机构的信息安全策略和实施的方法,其中包括:确定与信息安全策略及实施相关的风险;收集关于信息安全策略及实施的信息;利用安全成熟性评估矩阵、所收集的信息以及与信息安全策略及实施相关的风险来生成评分;利用该评分来生成校正活动的列表,执行校正活动列表以创建新的安全性信息策略和实施,以及监测新的安全性信息策略和实施。
[0006]一般来说,在一个方面,本发明涉及用于评估机构的信息安全策略和实施的设备,其中包括:用于确定与信息安全策略及实施相关的风险的部件;用于收集关于信息安全策略及实施的信息的部件;用于利用安全成熟性评估矩阵、所收集的信息以及与信息安全策略及实施相关的风险来生成评分的部件;用于利用该评分来生成校正活动列表的部件,用于执行校正活动列表以创建新的安全性信息策略的部件,以及用于监测新的安全性信息策略的部件。
[0007]一般来说,在一个方面,本发明涉及用于评估机构的信息安全策略和实施的计算机系统,包括处理器、存储器、输入部件以及存储在存储器中的软件指令,其中所述软件指令用于使计算机系统在处理器的控制下,执行以下步骤:确定与信息安全策略及实施相关的风险;利用输入部件收集关于信息安全策略及实施的信息;利用安全成熟性评估矩阵、所收集的信息以及与信息安全策略及实施相关的风险来生成评分;利用该评分来生成校正活动的列表,执行校正活动列表以创建新的安全性信息策略和实施,以及监测新的安全性信息策略和实施。
[0008]通过以下描述以及所附权利要求书,本发明的其它方面和优点会明显。
附图说明
[0009]图1说明一种典型的计算机系统。
[0010]图2表示流程图,详细说明根据本发明的一个实施例的安全成熟性评估方法。
[0011]图3说明根据本发明的一个或多个实施例的安全成熟性评估上报工具报告的一部分。
[0012]图4表示流程图,详细说明根据本发明的另一个实施例的安全成熟性评估方法。
具体实施方式
[0013]参照附图描述本发明的示范实施例。在所有附图中,为了一致性,相同的项目由相同的参考标号表示。
[0014]在本发明的以下详细说明中,阐述许多具体的细节,以便更透彻地了解本发明。但是,本领域的技术人员清楚,即使没有这些具体的细节,也可实施本发明。在其它情况下,没有详细描述众所周知的特征,以免本发明不明显。
[0015]本发明涉及用于评估机构的安全成熟性的方法。此外,本发明还涉及利用安全性评估矩阵来评估机构的安全成熟性。另外,本发明还涉及把安全性评估矩阵基于BS7799/ISO17799标准以及能力成熟性模型(CMM)。此外,本发明还涉及利用安全性评估矩阵提供面向活动的定量结果的方法。另外,本发明还涉及把机构的安全成熟性与预定目标进行比较、或者与另一个时间点上同一个机构的安全成熟性进行比较、或者与另一个机构或管理机构允许的安全成熟性等级进行比较的方法。
[0016]本发明实际上可以对任何类型的计算机实现,而与所使用的平台无关。例如,如图1所示,典型的计算机(28)包括处理器(30)、相关存储器(32)、存储装置(34)以及当今计算机典型的其它许多元件和功能性(未示出)。计算机(28)还可包括例如键盘(36)和鼠标(38)等输入部件以及例如监视器(40)等输入部件。本领域的技术人员知道,这些输入和输出部件可在可访问的环境中采取其它形式。
[0017]安全成熟性评估(SMA)方法包含五个不同阶段:(1)管理认知和承诺,(2)安全成熟性评估,(3)校正活动计划(CAP),(4)校正活动计划执行(CAPE),以及(5)进行监测。下面更详细地说明上述阶段中的每个。本领域的技术人员知道,用于表示这些阶段的名称可以改变,而没有改变本发明。
[0018]图2表示流程图,详细说明根据本发明的一个实施例的SMA方法。通过确保机构的管理是知道的并承诺改善机构的信息安全性实施和策略(步骤100),开始SMA方法。然后,评估实体(例如进行评估的个体和公司)评估机构的信息安全性实施和策略(步骤102)。利用在步骤102得到的信息,评估实体形成校正活动计划(步骤104)。随后执行校正活动计划(步骤106)。如果该机构希望在执行校正活动计划之后继续进行监测(步骤108),则评估实体可继续监测机构的修订信息安全策略和实施(步骤110)。在继续监测之后,该方法可返回到步骤100,确保机构的管理仍然是知道的并承诺,或者在机构的管理继续是知道的并承诺时可能直接进入步骤102。如果机构不希望在执行校正活动计划之后继续进行监测(步骤108),则该方法结束。
[0019]管理认知和承诺阶段是SMA方法第一阶段,并用于提高被评估机构的管理中的认知,以及开始收集信息。明确地说,在评估认知和承诺阶段,评估实体收集信息以便了解机构的商业目标。此外,评估实体收集信息以便了解信息安全性方面的相关风险。例如,如果该机构正使用无线局域网(LAN),则与该机构正使用其中所有计算机均经由以太网电缆连接的传统LAN的情况相比,要考虑不同的信息安全性风险。另外,评估实体通过提供安全成熟性评估方法论及方法,来创建机构中的认知。在本发明的一个或多个实施例中,评估实体还可提供关于基础标准、如ISO标准的附加信息。在本发明的一个或多个实施例中,评估实体还可提供对于成熟性模型被应用于安全性评估时的概念的说明。
[0020]通过评估实体识别执行SMA所需的参与方来开始安全成熟性评估阶段。另外,评估实体与机构配合,确定用于执行SMA的效果和费用。还设置了时间线,允许评估实体和机构具有跟踪SMA进度的方式。这样,在本发明的一个或多个实施例中,评估实体可请求机构签署评估合同,以便确保机构贯彻SMA的承诺。一旦已经完成上述步骤,评估实体继续执行SMA。
[0021]评估实体通过收集详细说明机构的现行信息安全策略和实施的文档来开始SMA。在审查所收集的文档之后,通常经由与该阶段开始时识别的参与方的会谈得到附加信息。利用从收集的文档以及会谈中得到的信息,产生初步评分。初步评分详细说明各个部分的成熟性以及机构的信息安全性实施及策略的整体成熟性等级。
[0022]在本发明的一个或多个实施例中,利用安全性评估矩阵(SAM)产生初步评分。SAM定义各信息安全性项目的各个成熟性等级。SAM包括对应于BS7799/ISO17799标准信息安全性项目分组的61行以及定义成熟性等级的5列。从最低成熟到最高成熟排列的五个成熟性等级为初始(等级1)、重复(等级2)、已定义(等级3)、受控(等级4)以及优化(等级5)。对于行和列的各相交点,有一个图表定义具体的“能力成熟性”等级。包含在SAM的给定行中的这些图表表示相同信息安全性项目的连续能力成熟性等级。此外,SAM的一些行表示与单个信息安全性项目相关的连续能力成熟性等级,如BS7799/ISO17799标准的一段中所述。SAM的其它行可表示BS7799/ISO17799标准在独立段或部分中描述的信息安全性项目的连续能力成熟性等级。
[0023]在本发明的一个或多个实施例中,各信息安全性项目的项目定义包含在SAM中。该项目定义用于特定信息安全性项目的等级定义的符号表。此外,在本发明的一个或多个实施例中,SAM包含以下等级定义:等级1-初始;等级2-未记录但通过指导进行传达;等级3-已记录;等级4-职责已定义;等级5-存在用于捕捉偏差和改善信息安全性以防止偏差的过程。此外,在本发明的一个或多个实施例中,SAM包含范围要求。范围要求表明对于机构经营的各方面中的哪些方面,必须应用SAM的特定行中提出的标准。
[0024]某个等级定义(例如等级1)与一个信息安全性项目(即SAM的特定行)的结合产生一个特定标准,本领域的技术人员可应用该特定标准来确定所评估的机构是满足、不满足或超过此信息安全性项目的成熟性的这个等级。此外,本领域的技术人员可把成熟性等级(等级1到5)的一般定义应用于特定的信息安全性项目,其方式是,它们能够容易地确定被评估的机构是满足、不满足还是超过这个安全性项目的这个成熟性等级,即使SAM的此行和列的交叉点处提出的特定标准不管什么原因不能直接应用于这个机构的情况中。
[0025]表1说明根据本发明的一个或多个实施例的SAM:
表1安全性评估矩阵
ISO 17799分类 | 等级1(初始) | 等级2(可重复) | 等级3(已定义) | 等级4(受控) | 等级5(优化) | 范围要求 | ||
等级定义→项目定义↓ | 未记录,但经由指导进行传达 | 已记录 | 职责已定义 | 存在对于捕捉偏差并进行不断改善的过程 | ||||
III.1 | 信息安全策略 | 安全策略的范围审查信息安全策略的有效实现审查信息安全策略 | 没有适当的安全策略 | 安全策略存在,但只是作为综述。推断明确允许或禁止的事项要求咨询专业人员。没有定期审查。 | 具体策略存在,明确地详细声明被允许或禁止的事项。“普通”人能够容易地理解它。间歇地执行审查,但没有明确的管理职责来触发审查或利用结果 | 安全策略涵盖商业的所有领域。安全策略由适当的功能所拥有,其中包括IT,但也包括金融、HR、法律等。机构策略在以下程序中定义职能和职责。审查间歇地被执行,以及审查的职责在策略中明确定义。 | 如果在每次违反策略之后有必要,或者如果出现商业变化(收购、公司出售或例如外购等过程的主要变化),适当的明确职责和机制升级策略。 | 每个信息安全性的目标和原则信息共享管理和职责 |
安全策略对雇员的安全性教育和技术培训的可用性 | 没有对雇员进行安全策略传达(不存在或限于IT人员)。 | 与雇员及受雇合同工或临时工讨论安全策略。 | 存在安全策略手册,在公告板和/或网页上发布。 | 安全策略传达是书面IT和人员程序的组成部分。对安全策略的培训和/或传达至少一年进行一次。 | 每个安全事件经过事后检查程序,其中包括审查适用的策略是否被正确传达。为使用者讲解事件上报程序。 | 员工认知和教育职责和紧急情况安排完善定义的策略安全性培训与人员发展计划相结合提供安全性培训的的管理职责,其中包括对所有雇 |
员规定清洁的台面和清洁的屏幕策略。 | ||||||||
安全性审查过程 | 发布一次,不再进行审查 | 在高层管理、审计人员要求时,偶尔审查 | 间歇地执行审查,但没有明确的管理职责来触发利用结果的审查 | 明确指定的人员或团体负责该过程,并定期对其进行审查。 | 在每个安全性事件之后,有定义的机制来审查和升级策略(是否遗漏了策略中原本可以防止该问题的什么方面?) | 一般管理职责 | ||
IV.1 | 信息安全性基础设施 | 保护个别资产的职责 | 没有分配职责。 | 特定的个体了解其保护部分资产的职责。分配职责的列表没有文件证明。 | 存在并发布了保护资产的职责的矩阵。 | 特定团体负责定义和维护保护个别资产的职责矩阵。取得矩阵的连续形式,以便帮助将来的调查。 | 安全性职责在资产管理过程中是一个必要字段,因此获得新资产时,在矩阵中创建若干行。没有负责团体的资产立即被标记,以便进行校正活动。 | 个别资产表示机构的实物资产(例如计算机、打印机、媒体等) |
工作定义和提供资源方面的安全性 | 没有正式定义过程 | 特定的个体了解其职责。 | 安全性判定的职责已经分配并有文件证明。 | 特定团体负责完善工作职责、人员筛选和保密协议。 | 工作描述和人员筛选安排被定期审查,以便符合企业的变化的安全性需要。也要求员工签署并同意保密协议。 | 解释基于SSO/IRT类型位置。 | ||
信息安全性教育和培训 | 没有正式定义培训 | 员工的骨干分子经过临时培训。 | 员工培训被定义并定期执行。 | 特定团体负责定义全体人员的培训计划、完 | 定期审查安全性课程,以便符合企业的 |
计划 | 善培训安排 | 变化的需要。针对策略来审查培训记录,以及例外情况导致培训计划更新。 | ||||||
IT设备的采购和安装的审批过程。 | 不存在审批过程。 | 存在采购或安装IT设备时要遵循的步骤的非正式、无文件证明的了解。 | 为IT设备的采购和安装定义了明确的审批过程,并在企业发布。 | 特定团体负责定义和维护IT设备采购及安装的审批过程。 | 定期审查审批过程,以便符合企业的变化的需要。对精确性审查IT设备的各采购和安装的审批过程,以及在适当地方采取校正活动。 | |||
IV.2 | 第三方接入的安全性 | 对信息处理设备的第三方接入的安全性控制 | 没有控制机制 | 物理接入控制允许由已经被非正式告知如何处理的IT员工临时决定。 | 接入控制规则有文件证明。与要求接入的各方有正式合同。 | 第三方接入通过接入令牌的发布被链接到机构的安全系统,以及这些接入被记录。 | 接入日志和经授权的第三方的列表定期被审计,以及在需要时进行对程序的变更。 | |
IV.3 | 外购 | 外部承包人的安全性控制 | 没有;承包人由任务主持人处理,而没有特定的策略或程序。 | IT、安全、法律或采购在合同发布时应用一些正规步骤。这些步骤没有明确的文件证明。 | 承包人安全性的程序以书面形式提供文件证明,员工和经理有权访问它们并了解其内容。 | 有承包人的记录。他们签署安全策略、NODE和IP协议。至少每个季度进行审计,以便确保承包人列表是现行的。定义该过程的主持人。 | 至少每年对可能的改善审查这些程序。 | 关键申请保持在室内企业主的允许。商业连续性计划的含义。安全性标准和符合性安全性事件程序。 |
V.1 | 资产 | 资产 | 没有盘点 | 根据要求偶尔进 | 根据书面程序执行 | 定义了时间安排、触发 | 在每次盘点之后存在 | 信息资产盘点 |
的会计责任 | 盘点、管理的范围 | 行的人工盘点 | 盘点,但时间安排和触发事件没有很好地定义。通常不是自动进行。 | 事件、职能及职责。在整个IT机构和管理中所有权是明确且已知的。 | 审查过程。盘点是逐渐增加的,而不是每次从头开始。资产盘点自动进行。 | 软件资产盘点实物资产盘点服务盘点 | ||
便于信息资产的变更 | 信息资产可以没有控制地变更 | 存在非正式了解关于分级文档不能随意被变更,但没有系统化程序。 | 存在适用于所有分级信息资产的文件证明的变化程序。没有适当的系统化控制机制。 | 存在控制机制(例如接入控制),以便防止没有适当授权的变更。 | 存在适当的机制来审查变化控制过程的效果,并检测对于改善的需要。 | 打印报告屏幕显示磁媒体电子消息文件传输 | ||
信息处理程序的范围 | 没有适当的程序用于处理信息。 | 涵盖部分信息资产。极少正规手续。没有定期审查。由极少的商业单位应用。 | 存在信息处理手册,在公共网页上发布,以及基本上涵盖所有类型的资产以及所有商业单位。 | 信息处理程序由适当的职能拥有,其中包括IT,但也包括金融、HR、法律等。机构策略在以下程序中定义职能和责任。 | 信息处理培训是书面IT和人员程序的组成部分。上报在已经不正确地处理了信息时的情况并从中进行学习的适当过程。 | 信息资产盘点软件资产盘点实物资产盘点服务盘点打印报告屏幕显示磁媒体电子消息文件传输(“处理”=复制、存储、电子传送、语音传送、破坏) | ||
V.2 | 信息分级 | 信息资产的分级信息资产的标记 | 没有分级 | 文档拥有者的主动的临时分级。大部分文档没有标记。在被标记 | 信息资产分级被发布,并“推送”给所有可能的文档拥有者。它涵盖安全 | 分级的所有权被明确地定义为公司程序的组成部分,并为管理所了解。 | 安全性分级被定期审查。具有最高分级的文档列表被定期审查。存在解密程序。 | 打印报告工程文件(照片、缩微胶卷等)屏幕显示 |
时,标签是不一致的。没有系统化的认知活动。 | 性。分级信息被一致地标记。 | 磁媒体电子消息文件传输 | ||||||
VI.1 | 工作定义和提供资源方面的安全性 | 新申请人的筛选。全面检查新申请人的CV。承包人和临时工的筛选 | 不全面或缺乏对申请人的筛选。承包人雇佣没有经过HR审查。 | 申请人的筛选非正式进行,没有文件证明,以及没有一致地执行。 | 用于申请人筛选的文件证明及发布的程序存在,并由机构使用。 | 特定团体负责定义和维护筛选程序。筛选程序的结果筛选的结果在申请人的HR文件中收集。 | 定期审查用于改善和符合性的程序。被认为是与筛选程序中的过失有关的安全性问题命令立即审查和更新该程序。 | 申请人表示所有雇员(承包人、固定或兼职的) |
VI.2 | 使用者培训 | 员工的安全性认知 | 对公司安全性极少了解 | 与雇员及受雇合同工或临时工讨论。 | 书面文件证明并让全体员工可以得到。雇员在受雇时得到一份安全策略,并要求确认接收。 | 维护和传达安全策略的职能和职责被定义。策略的确认被跟踪和存储,作为雇员的HR策略的组成部分。 | 执行对安全性确认的审计。定期地或者在安全策略变化时出现再确认的系统。为安全性认知程序的性能提高分析事件。 | |
安全性教育和技术培训 | 没有提供教育或培训。 | 没有始终提供安全性教育和技术培训,以及职责由管理自行处理。 | 安全性教育有文件证明并包含作为聘用过程的组成部分。对于每个雇员存在技术培训路标。 | 特定团体负责定义和维护安全性教育及技术培训计划。培训记录在雇员的文件中收集。未来培训的审查和计划是审批过程的组成部分。 | 定期审查培训,以便符合企业的变化的需要。针对策略来审查培训记录,以及例外情况导致校正活动。 |
VI.3 | 对安全性事件和事故的反应 | 公司安全违章的惩戒过程 | 没有文件证明。反应是临时的。 | 经理们主动意识到需要,能够引用多级处罚,包括但不限于解雇。经理和HR独立地对如何开始进行惩戒活动达成协议。 | 违章定义、调查过程以及适用处罚列表由适当团体提供文件证明、分发、签署,以及已经就此内容时员工进行教育。 | 文件证明过程包括每个步骤的职能和职责以及明确的工作流程。 | 在导致援用此程序的每个事件之后,审查该过程,以及在适用时,该过程被修订(包括培训或处罚条例)。 | |
VII.1 | 安全区域 | 防止未经授权的访问。到办公室、室内的实际进入控制。IT设备的实物安全性。 | IT设备无人看管,其中没有除实际建筑物进入之外的控制。 | 通常由IT经理临时提供接入控制。没有发布或管理已定义的接入权限列表。 | 那些区域的安全周边和访问权限列表有文件证明并发布。 | 对安全IT区域的所有访问由允许个人标识和审计的机制(例如徽章进入控制系统)来执行。允许及取消权限的访问控制集中管理,并链接到雇用及终止策略。 | 访问控制系统日志的审计定期进行。设备和管理的变化触发对访问程序的审查和修订。 | |
VII.2 | 设备安全性 | 没有火警系统 | 火警系统存在,以及让人们非正式地了解该系统。 | 火警系统的程序可见并张贴,包括疏散路线、行为动作、灭火剂提示等。 | 火警系统被测试。存在评估火警系统的程序,其中包括损害评估和恢复、疏散总人数等。 | 必要时,对实际报警的反应被审查,对当前系统及备用系统实现的改善被审查。 | ||
个人工作站策略 | 不存在个人工作站 | 存在个人工作站的策略,但没有 | 存在个人工作站的文件证明策略,以 | 特定团体负责定义和维护个人工作站策 | 定期审查个人工作站策略,以便确保它符 |
的策略。 | 在整个机构发布或采用。 | 及采取步骤在雇员中传播对它的认知。 | 略。敏感信息通过加密进行保护。 | 合企业的变化的需要。个人工作站需求被审查,以及在必要时进行变更。执行审计,以便确保机构维护认可的工作站策略以确保有效管理。 | ||||
防止环境威胁和危险。防止人的疏忽(吃东西、抽烟、饮酒)。防止供电及通信电缆被截取或损坏。 | 没有适当程序来防止安全威胁或危险。 | 存在适当的非正式安全威胁保护策略。这没有在整个机构中贯彻执行,以及策略的详细资料没有文件证明。 | 存在适当的非正式的文件证明的策略。它详细说明防止可能的危险需要遵循的所有步骤。 | 特定团体负责定义和维护安全威胁控制方针。 | 定期审查安全威胁策略,以便确保它符合企业的变化的需要。定期审查该策略,以及在必要时进行变更以确保连续的符合性。 | |||
VII.3 | 综合控制 | 检验入库货物的危险 | 入库货物没有检验。 | 没有检验入库货物的正式过程。临时执行。 | 存在文件证明的过程,因此所有入库货物均按照规定计划被检验。 | 确定负责团体以管理检验入库货物的安全符合性的过程和程序。 | 定期审查关键货物筛选过程,以便确保其符合企业的变化的需要。货物筛选需求被审查,以及在必要时进行变更。机构保持入库货物的历史记录文件;它们被定期审查以便确保没有差异。 | |
机构的财产拆除过 | 对于财产 | 存在财产拆除的 | 财产拆除的正式过 | 机构财产的明细表被 | 机构的财产的审计定 |
程 | 拆除没有标准化程序。 | 非正式过程。 | 程有文件证明并向机构发布。 | 保存并定期更新。确定一组或个人验证遵循该过程。 | 期执行,以及在必要时进行拆除过程的变更。 | |||
设备维护 | 存在设备维护策略,以及设备维护仅在出故障时进行。 | 设备维护根据厂商建议的维修时间临时执行 | 设备有保险,以及设备维护控制对风险的确定。 | 确定负责团体以监督设备维护策略被遵循。 | 设备维护的记录被检查,以便确定故障模式或误用。适当的变化被结合到维护策略中。 | |||
敏感数据处理程序 | 数据处理程序没有被定义。 | 数据处理程序非正式地被定义。 | 数据处理程序被正式定义,并对机构发布。 | 确定负责团体以监督处理程序被遵循。 | 处理程序被定期审计,以及适当的步骤被结合到该程序中。 | |||
VIII.1 | 工作程序和职责 | 管理职责和程序事件上报程序 | 没有-每个事件均尽努力临时处理。 | 对程序的共同认知重复性的工作包括员工会议、培训期、指导 | 书面文件证明并让所有IT员工(以及具有IT职能的其它部门的员工)得到 | 职能和职责已定义。存在逐步升级和上报链。问题和请求被记录,作为事故单。 | 程序包括使它们发展的机制。事件被分析以提出改善。存在质量提高过程,有文件证明并应用。 | 上报程序包括:所有类型的安全性事件意外事故计划审计跟踪等恢复活动和授权 |
VIII.2 | 系统计划和接受 | 在部署之前新信息系统要求和升级的测试 | 没有;新系统投入使用,而没有任何正式测试程序。 | 测试是非正式的,并根据个体知识而不是根据正式过程来执行。 | 定义新的已升级系统的测试和部署的正式文档已定义。 | 定义、审查以及确保与测试策略的符合性的职责已定义。存在防止对生产系统未经授权的变更的系统级工具。存在详细说明进入变化管理过程的接口 | 策略被定期审查并根据生产系统或机构结构的任何变化进行修订。测试方法和工具不断被检查,以便确定对机构的适用性,然后再引入。 | 包括容量计划和系统接受的问题。要考虑的问题包括:性能和计算机容量要求错误恢复和重启程序安全性控制/问题手册过程 |
的文档。 | 商业连续性安排现有机器上的附加负荷新设备的操作方面的培训 | |||||||
VIII.3 | 防止恶意软件 | 检测和防止恶意软件。对处理恶意软件的程序的使用者认知上报和从病毒攻击恢复的程序 | 不存在检测、保护措施、上报或恢复程序,对恶意软件和病毒攻击的处理完全是反应性的,并且以临时方式处理。 | IT员工非正式地定义检测和处理恶意软件及病毒攻击的程序。没有对于所有雇员的通用工具、正式书面文件或培训计划。 | 存在用于检测和处理恶意软件及病毒攻击的有文件证明的正式程序,并将其传达给所有雇员,作为公司安全策略的组成部分。保护工具的标准集合被定义并部署。为所有雇员提供培训。 | 特定团体负责定义和维护检测及保护程序,通知及培训使用者,管理检测和恢复工作,以及选择和维护保护工具。 | 该程序包括用于发展的机制。事件被分析以提出改善。工具集被不断检查及更新,以便提供对变更处理的最大保护。 | 这些程序包括:所有类型的病毒及恶意软件事件意外事故计划审计跟踪等恢复活动和授权 |
与得到许可的软件以及禁止未经授权的软件相关的策略 | 不存在与软件安装有关的策略或监测 | 软件监测策略是非正式的,并且是临时执行的。IT机构在涉及到软件获取时非正式地应用控制。 | 软件许可策略有文件证明并对所有雇员发布。 | 特定团体负责监测和维护企业的授权软件许可。软件明细表许可工具用来监测和确保符合性。 | 定期审查授权软件列表,以便符合企业的变化的需要。审查软件审计,以及例外情况导致校正活动。 | |||
VIII.4 | 内务处理 | 监测处理电力和存储以确保可用性 | 不存在监测。响应问题而执行容量调 | 作为系统管理程序的组成部分的非正式监测根据需要执行。没有 | 涵盖处理电力、存储器、盘空间、LAN/WAN容量、备份容量、用户工 | 容量计划和容量管理过程的所有权已定义。存在让企业经理们对计划和容量计划过 | 新的技术合同协议以及供应商选择被不断调查并引入该环境中,以便在优化成本 |
整。 | 明确定义管理容量计划或模型。 | 作站数量、物理空间和电力的容量计划及容量管理过程。 | 程与预算过程之间的链接提出要求的正式机制。 | 的同时提供必要的资源。 | ||||
VIII.5 | 网络管理 | 由此部分的其它问题包含 | ||||||
VIII.6 | 媒体处理和安全性 | 保护计算机媒体的程序和控制 | 没有适当的程序或控制来保护计算机媒体。 | IT员工非正式地定义了用于保护计算机媒体的程序和控制。没有对于所有雇员的正式书面文件、访问日志或培训计划。 | 存在用于保护计算机媒体的有文件证明的正式程序,并将其传达给所有雇员,作为公司安全策略的组成部分。适当的控制用于限制和跟踪对媒体的访问。为所有雇员提供培训。 | 特定团体负责定义和维护访问控制系统以及对计算机媒体的访问进行审计的程序。 | 定期审查这些程序,以便处理待处理的计算机媒体的类型或容量的变化。审查审计日志,以及例外情况导致校正活动 | 媒体包括:IT计算机房媒体(例如备份带、可拆卸硬盘驱动器、CD-ROM等),用户媒体(例如CD-ROM、软盘等) |
VIII.7 | 信息和软件的交换 | 与其它机构的数据和软件交换的安全性 | 没有规定的程序来保护数据或软件的交换。 | 不存在公司标准或策略来针对保护与其它机构的数据和软件的交换。 | 与其它机构安全交换数据和软件的公司标准有文件证明,并对所有雇员发布。 | 特定团体负责定义和维护保护数据和软件交换的标准。信息分级策略确定其内容以及传送方式。 | 这些标准被定期审查,以便处理对所交换的数据或者交换方法的变更。信息分级策略不断发展。 | 与第三方及外购供应商的数据和软件的安全交换的标准。信息分级策略 |
IX.1 | 访问控制的商 | 访问控制的商业要求的书面文件。定义各使用者或使用 | 没有对访问控制的认知或实 | 临时应用非正式的、无文件证明的访问控制实 | 定义各使用者或使用者群的访问权限的访问策略声明存 | 特定团体负责定义和维护访问策略声明,并确保它符合商业要 | 定期审查访问策略声明,以便符合企业的变化的需要。审查安 | 访问权限包含网络、操作系统和应用访问的帐号。ACL、使用者和系统帐号 |
业要求 | 者群的访问权限的访问策略声明。防止连接服务未经授权使用。与网络和网络服务的使用有关的用户访问权限及能力策略的审查。适当的网络控制 | 践。 | 践。 | 在并被发布。 | 求。 | 全性事件,以及在适当的时候进行对访问策略声明的修改。 | 等。终端和便携装置的自动识别。延长时间段无人看管的远程系统的超时 | |
IX.2 | 用户访问管理 | 对IT服务的访问的正式注册/注销的系统。变更职务或离开公司的用户的即时帐号消除。忽略系统/应用限制的用户特权。所有已分配特权的已保存记录。给予用户特权的系统例程。对程序源规范库的访问控制 | 没有对访问IT服务的控制。 | 临时应用非正式的、无文件证明的用户帐号实践。 | 定义访问权限、特权等级和建立/删除规则的用户帐号策略存在并发布。 | 特定团体负责定义和维护用户帐号策略。用户帐号建立/删除记录被存档。 | 定期审查用户帐号策略,以便符合企业的变化的需要。审查审计要求,以及在适当地方进行对用户帐号策略的修改。每个个体的多个帐号通过单控制点被建立或删除。 | 删除与禁用帐号。所有用户的唯一ID。 |
IX.3 | 用户职责 | 用户密码的安全性。用户密码的密级 | 没有使用密码。 | 临时应用非正式的、无文件证明的密码实践。 | 已发布的密码策略定义密码强度(例如长度、包含特殊字符)、过期和使 | 特定团体负责定义和维护密码策略。密码历史记录被存档。 | 定期审查密码策略,以便符合企业的变化的需要。执行密码的定期审计(破解)以便 | 在系统锁定用户之前限制密码尝试次数。记录不成功的登录尝试并让用户知道 |
用。 | 确保符合性,以及例外情况被指出、记入文件,并采取校正活动。 | 密码规则的增强 | ||||||
在确保良好安全性方面对用户的良好实施方针。 | 不存在指导方针。 | 非正式的、无文件证明的方针临时提供给用户。 | 良好实施的方针声明被定义并结合到用户培训计划中。 | 特定团体负责定义和维护良好实施的方针。 | 存在向内部和外部源请求最佳实施方针的建议的规程,以及将它们结合到机构的用户安全性方针中。 | 在成功登录之前没有显示系统标识符。在登录时出现错误的情况下,提示系统只应由授权用户使用的一般通知告警没有指明错误内容。 | ||
加密控制 | 不存在指导方针。 | 非正式的、无文件证明的方针临时提供给用户。 | 良好实施的方针声明被定义并结合到用户培训计划中。方针包括:加密、数字签名、密钥管理、非否认服务 | 特定团体负责定义和维护良好实施的方针。 | 存在向内部和外部源请求最佳实施方针的建议的过程,以及将它们结合到机构的用户安全性方针中。 | |||
IX.4 | 网络访问控制 | 在此部分的其它区域中包含 | ||||||
IX.5 | 操作系统访问控制 | 在此部分的其它区域中包含 |
IX.6 | 应用访问控制 | 在此部分的其它区域中包含 | ||||||
IX.7 | 监测系统访问和使用 | 在此部分的其它区域中包含 | ||||||
IX.8 | 移动计算和远程办公 | 移动计算和远程办公 | 不存在指导方针。 | 非正式的、无文件证明的方针临时提供给用户。 | 良好实施的方针声明被定义并结合到用户培训计划中。 | 特定团体负责定义和维护良好实施的方针。 | 存在向内部和外部源请求最佳实施方针的建议的过程,以及将它们结合到机构的用户安全性方针中。 | 膝上型、移动和掌上电脑安全性,确保公司信息没有被损害。 |
X.1 | 系统的安全性要求 | 用于分析安全性要求的风险评估和风险管理 | 没有风险评估的架构。 | 临时应用非正式的、无文件证明的风险评估和风险管理实施。 | 存在已发布的风险评估和风险管理程序。 | 特定团体负责定义和维护风险评估和风险管理方针。所识别的风险以及用于管理风险所采取的活动的存档被保存。 | 定期审查风险评估和风险管理策略,以便符合企业的变化的需要。必要时对策略进行变更。 | |
在取得新程序和软件时进行安全检查 | 当取得新软件时没有执行安全检查。 | 存在非正式程序,从而新的程序和软件在投入工作环境之前被评估。这个任务 | 存在在购买任何软件之前要遵循的文件证明程序。这确保所有购买的软件符合公司的安全性 | 特定团体负责定义和维护软件安全检查方针。对供应商提供的软件包进行修改以便符合系统要求,以及在进 | 定期审查安全检查,以便确保其符合企业的变化的需要。正规的风险分析被执行,以便确保现有系统的 |
临时执行。 | 方针。 | 行这个操作之前得到供应商的同意。 | 安全以及控制对其安全性的损害。重点强调新产品的质量证明。 | |||||
X.2 | 应用系统的安全性 | 数据输入到应用系统时的有效性控制。存储信息的数据有效性输出数据有效性 | 应用系统上没有信息的有效性 | 存在非正式过程,其中数据在进入应用之前被检验以及现有数据被检验。临时执行例如丢失或不完整数据、字段中的无效字符等基本测试。 | 存在已发布的标准,它描述所执行的有效性测试。存在要遵循的文件证明过程。 | 特定团体负责定义和维护有效性控制方针。 | 定期审查有效性控制程序,以便确保其符合企业的变化的需要。执行应用系统中的数据的定期审计,以便确保符合性。例外情况被指出、记入文件,以及采取校正活动。 | |
X.3 | 加密控制 | 加密控制 | 没有加密控制,或者现有系统体系结构不支持加密。 | 存在所采用的非正式惯例,从而加密部分文件。这由用户酌情临时进行。 | 存在文件证明的程序,它定义概述哪个文档分级需要被加密的步骤以及实现这个操作要执行的过程。 | 特定团体负责定义和维护加密控制方针。独立的密钥管理程序用于数字签名和加密。 | 定期审查加密控制,以便确保其符合企业的变化的需要。定期执行审计,以便确保应当加密的信息保持加密状态以及所用的加密方法是满足要求的。 | |
加密密钥的脆弱点。密钥管理系统。密钥管理系统的书面文件(激活 | 没有密钥管理程序。 | 有适当的过程,其中存在适当的密钥管理,基于非正式的标准、 | 存在文件证明的密钥管理系统,它定义要遵循的步骤。这确保算法类型和 | 特定团体负责定义和维护密钥管理系统。独立的密钥管理程序用于数字签名和加密。加 | 定期审查密钥管理系统,以便确保其符合企业的变化的需要。密钥管理需求被审 |
和去活日期、证书信息) | 程序及安全方法的集合。 | 密钥长度被认为标识加密保护的等级。 | 密密钥已经定义激活和去活日期。在私钥泄密的情况下,所有密钥均被防止修改及破坏。 | 查,以及在必要时进行变更。执行审计,以便确保机构维护认可证书管理机构以确保密钥保护和有效的密钥管理。 | ||||
X.4 | 系统文件的安全性 | 系统测试数据的保护和控制。变化控制程序操作软件的控制 | 没有适当的变化控制程序以及没有提供系统测试数据的保护。 | 存在变化控制的非正式程序。这个任务临时执行。 | 存在文件证明的、雇员可得到的标准,描述要遵循的程序,以便确保变化控制程序被正确地执行 | 特定团体负责定义和维护变化控制方针。维护软件更新的版本控制,以及保存所有版本的存档。 | 定期审查变化控制策略,以便确保它符合企业的变化的需要。版本控制日志被审计,以及任何例外情况被记入文档、被指出,并根据需要采取校正活动。 | |
X.5 | 开发和支持过程中的安全性 | 认知软件升级,从而提高安全等级 | 没有适当过程监测机器上安装的软件导致的安全性风险。软件升级没有考虑新版本的安全性 | 存在监测供应商网站以获得软件升级的非正式程序。这个任务临时执行。仅考虑了供应商定义的安全性问题。 | 存在文件证明的、雇员可得到的标准,可用于描述要遵循的程序,以便确保其机器上安装的所有软件属于最新版本。伴随机构系统平台特定的新版本的所有安全性问题被识别并通过供应商确认。 | 特定团体负责定义和维护软件更新方针。所有软件升级的存档已保存。存在把安全性问题逐步升级到适当等级并对其进行修正的变化控制程序和合同协议。 | 定期审查软件更新策略,以便确保它符合企业的变化的需要。执行软件更新的定期审计,以便确保符合性。例外情况被指出、记入文件,以及必要时采取校正活动。 | 在实现之前,新的软件投入测试环境,以便通过安全策略检查异常情况。 |
XI.1 | 商业连续性管理的各方面 | 商业连续性规程的内容包含在该过程中的程序和时间安排 | 没有计划。 | 在事故的情况下存在对要进行的操作的部分了解(例如基于培训或基于以前的经验),但没有文件证明的过程。 | 有书面的且正确分发的计划。过程包括:-撤退程序-恢复程序-维护时间安排 | 雇员经过培训,以及培训定期更新。在通信受到严重影响时,计划包括预备通信方法。过程还包括:-职责的分配-激活的条件 | 包括用于每次启用之后进行改善的过程。 | 关键经营过程的风险分析。识别可能导致经营过程中断的事件,以及包括对那些中断的影响的评估。 |
商业连续性过程的发展商业连续性过程的测试连续性过程的审查和更新导致计划审查的原因 | 计划不存在。对可在经营中断的情况下采取的措施的部分认知。以临时方式发生活动。 | 可在经营中断的情况下应用一组措施。它们不包括正式的、已定义、发布或受控的计划。 | 存在书面商业连续性过程,它包括风险、事件、职能和职责、技术措施、上报及通信。计划已经测试至少一次。 | 已定义负责执行商业连续性过程的管理链,以及所有经理和员工都了解该链的内容。测试至少每年发生一次,并维护商业连续性过程。 | 在系统、员工、事故恢复、承包人或合同、企业、应用、位置或法规的变化的情况下,审查此过程。在通过文件证明的改善活动执行之后进行事后检查审查。 | 商业连续性过程涵盖当地环境特定的事件(即洪水、停电、政治不安定、火灾、飓风、地震等)以及商业需要(即信用卡中心不能停顿超过数分钟) | ||
XII.1 | 与法律要求的符合性 | 对于可能有知识产权的材料的使用的适当限制 | 没有适当的限制 | 仅对某些文档的临时限制。 | 有文件证明的、基于信息分级的系统化限制 | 执行限制的明确职责。提供培训。雇员已了解。 | 连续改善的策略的定期审查。对限制的定期审查,以确定它们是适当的。 | 著作权策略获取程序著作权认知信息许可证维护所持有/所使用软件的检验关于软件处理的策略与许可证的符合性 |
防止机构记录的丢失、破坏或篡改 | 没有采用安全措施关于谁有权访问什么信息,没有定义的分级结构。 | 某些机构数据已备份及保护。备份可现场保存。没有保存用户活动的日志。 | 确保机构记录未被泄漏的明确职责。部分用户活动被记录。机构数据被安全保存。文档公开可用,它们描述雇员应当遵循以维护机构记录的完整性和安全性的策略和程序。 | 适当的保护涵盖所有机构记录。提供培训以教育用户。管理可靠地确保记录被准确安全地保存。适当的访问权限和特权,把访问限制到某些机构记录。网站被防止损毁。关键文件被标识并通过CRC校验等防止篡改。 | 适当系统以及处理机构记录的系统的安全性的定期审查。每个事件经过事后检查过程,其中包括审查适用的策略是否被正确传达。为用户讲解事件上报过程。全面的审计日志被保存,其中具有系统开始/完成时间、系统错误和校正活动、以及对信息进行变更的人员名字。 | 人事信息著作权信息公司保密信息公共网站 | ||
与数据保护法规的符合性 | 对法规的了解限于特定的人或部门(HR、法律等),并且没有文件证明。 | 与雇员及受雇于特定部门的合同工或临时工讨论数据保护法规。 | 法规被应用以及使数据保护法规为集中位置的雇员可获得。法规及有关数据的影响有书面记录并且可让雇员得到。所有受影响的过程包括适当的保护步骤。 | 过程和程序到位,用于监测以确保公司是连续符合的。执行此操作的职责已明确分配。 | 存在适当的正规过程以审查法规的变化或企业的新需求。对用户提供培训,以便确保与法规的连续符合性。定义了接收、调查和校正任何上报的例外情况的过程和职责。 | |||
信息系统与实施的发布标准或规则 | 没有实施的已发布 | 实施的标准和规则被一般理解, | 实施的标准和规则已定义和内部发 | 明确指定的个人或团体具有对于实施的已 | 存在适当的正规过程以审查实施的已发布 | 知识产权著作权 |
(code)的符合性 | 规则以及没有认知 | 但在机构中不一致地应用。 | 布,并且让集中位置的雇员可得到。 | 发布标准或规则进行审查、维护和培训用户的职责。 | 标准或规则的变化。发现校正活动中不符合的结果。 | 数据保护条例 | ||
XII.2 | 安全策略和技术符合性的审查 | 各信息系统的管理和合同要求的书面文件 | 不存在书面文件。 | 存在部分书面文件,但它没有包含各IS的管理/合同要求的全部详细资料。没有使用标准文档模板,文档由各雇员根据要求时创建。没有文档的中央数据存储区(需要询问了解的人)。 | 让文档在公司网站上或者在公告板上公开得到。存在机构中所有信息系统的合同和管理要求的完整书面文件。 | 职责被分配给个体,以便在提供新系统时立即产生文档。存在文档创建的模板,以及存在存储它们的中心库。模板已经指定所有者。 | 当项目的合同或管理要求存在变化时立即创建文档。书面文件是具有正确许可的人可得到的。定期信息系统的明细表包括检查是否存在符合性要求。例外情况触发完善定义的审查程序的过程,以便消除这种风险。 | 关于保护和/或校正人员信息(雇员和/或客户、供应商等)的法规向适当的管理机构公开的程序。ISO 9000要求管理机构(例如美国的FDA或FCC) |
XII.3 | 系统审计考虑事项 | 针对计算机误用的控制防止误用的审计工具的安全措施 | 没有适当的控制或安全措施 | 与雇员及受雇合同工或临时工讨论计算机设备的使用条款。 | 机构计算机设备的使用条款可从中央位置得到(内联网站点、办公室公告板等) | 定义经理的职责。用于监测计算机设备的使用的工具。员工具有完善定义的职能以及对计算机文件系统的访问权限。员工了解其计算机相关活动受到监测以及受监测的程度。 | 定期审查谁被授权从事什么工作。从监测工具收集的信息用来判定未来的策略。有事件审查程序。进行定期的“白帽”入侵尝试,之后跟随校正活动。 | |
信息系统的审查/ | 没有适当 | 在高层管理、审 | 间歇地执行审查, | 明确指定的人员或团 | 在每个安全性事件之 |
审计,确定它们符合安全策略及标准 | 的过程 | 计人员等要求时,偶尔审查或审计 | 但没有清楚的管理责任来触发利用结果的审查 | 体负责该过程,并定期对其进行审查。 | 后,有定义的机制来审查和升级策略(是否遗漏了策略中原本可以防止该问题的什么方面?) | |||
系统制度的范围(事件记录) | 不存在范围 | 极少适当的安全措施。审计工具没有安全管理,以及用户访问没有被监测。 | 确保审计工具没有被误用的明确职责。提供培训以教育用户。 | 审计工具仅可供关键员工使用。访问权限和特权被执行以维护安全性。 | 适当的安全措施涵盖所有审计工具。适当系统以及审计系统的系统的安全性的定期审查。就保护用户审计工具的重要性对其进行教育。 | |||
信息系统与实施的发布标准或规则的符合性 | 没有实施的已发布规则以及没有认知 | 实施的标准和规则被一般理解,但在机构中不一致地应用。 | 实施的标准和规则已定义和内部发布,并且让集中位置的雇员可得到。 | 明确指定的个人或团体具有对于实施的已发布标准或规则进行审查、维护和培训用户的职责。 | 存在适当的正规过程以审查实施的已发布标准或规则的变化。发现校正活动中不符合的结果。 | 知识产权著作权数据保护条例 |
[0026]参照表1所示的安全性评估矩阵,为了执行对给定项目的评估,评估实体只需要执行以下步骤:(i)首先通过分类、然后再通过子分类找出可疑项目;(ii)阅读各成熟性等级下的描述,并确定是否满足该成熟性等级的要求;以及(iii)记录机构的当前信息安全策略和实施满足的那个项目的最高成熟性等级。
[0027]一旦已经完成初步评分,则可通过图形方式进行显示。在本发明的一个实施例中,利用安全成熟性评估上报工具(SMART)显示初步评分。SMART允许以细节级来显示初步评分、即显示全部61个元素,或者以概述级来显示初步评分、即仅显示10大类。此外,SMART允许机构把初步评分与预定目标、工业平均值或者与先前评估进行比较。另外,SMART报告的布局允许机构容易地识别要求改善的区域。
[0028]图3说明根据本发明的一个或多个实施例的SMART报告的一部分。第一列(10)列出大分类。第二列(12)列出各分类中的项目。第三列(14)以图形方式表示“评估能力成熟性”(ACM)(16)。第三列被细分为对应于以上列出的成熟性等级的五个等级(L1、L2、L3、L4和L5)。对于每个项目,ACM通过对达到适当等级的对应行打上阴影来表示。如果ACM没有到达目标(18)、即机构希望特定项目达到的等级,则出现表示目标(18)与ACM(16)之间的间隙(20)的更深的阴影。
[0029]例如,在图3中,分类2包含四个项目:项目D(2)、项目E(4)、项目F(6)以及项目G(8)。明确地说,查看项目G(8),ACM(16)处于等级2(22),而目标(18)处于等级3(24)。因此,间隙(20)出现于包含项目G(8)的行的等级2(22)与等级3(24)之间。这样,机构可以容易地看到项目G(8)低于目标(18)。相反,机构可以容易地看到,项目F(6)的能力成熟性等级处于对此项目设定的目标(26),因此相对项目F(6)没有间隙。
[0030]回到SMA阶段,一旦已经完成初步评分,则评估实体与机构一起审查初步评分。在审查过程中,初步评分可根据需要被修订。一旦已经完成这个步骤,则产生最终评分。
[0031]在校正活动计划(CAP)阶段中,利用最终评分和安全性评估矩阵来产生CAP。所建议的活动针对改善具有间隙的项目,以及使这些项目达到目标。另外,CAP中的项目还可根据需要以及机构的资源确定优先级。在校正活动计划执行阶段,执行CAP。例如,如果SAM声明,使某个项目处于等级3,“策略被记录”,以及处于等级4,“有指定经理负责应用此策略”,则由此得出结论,如果机构被评估处于此项目的等级3,并且其目标是达到等级4,则CAP应当包括以下活动:“任命经理负责此策略。”
[0032]SMA的监测阶段包括定期的SMART报告,以便确保目标被满足及保持。此外,在此阶段中,评估实体可检测可能要求对安全性实施和/或策略的增加或变更的环境的变化。另外,在监测阶段中,评估实体可为在信息安全性事件的情况下听取机构的报告提供帮助。在本发明的一个或多个实施例中,监测阶段是可选的。
[0033]图4表示流程图,详细说明根据本发明的另一个实施例的SMA方法。首先,确定机构的商业目标(步骤112)以及信息安全性方面的相关风险(步骤114)。然后,收集关于机构的现行信息安全策略和实施的书面文档(步骤116)。然后通过会谈收集附加信息(步骤118)。利用在步骤112到118收集的信息,产生SAM评分(步骤120)。如果获得附加信息(步骤122),则可重复步骤120。如果没有获得任何附加信息(步骤122),则提出校正活动的列表(步骤124)。校正活动随后被确定优先级(步骤126)及执行(步骤128),从而产生经修改的信息安全策略和程序。然后监测经修改的信息安全策略和程序(步骤130)。如果存在信息安全性环境的变化,例如第一机构与第二机构合并导致第一机构的网络结合到第二机构的网络中,或者如果到达定期审查的时间(步骤132),则过程返回步骤116。
[0034]一个或多个实施例中,本发明可具有以下一个或多个优点。SMA方法是系统化方法,它包括一个过程、用于评估的详细方法(即SAM)以及上报工具(即SMART)。此外,SMA方法涵盖信息安全性的所有方面,并明确定义各等级对各项目的意义。另外,SMA方法是面向活动的。此外,以能力成熟性而不是合格/不合格来评估各项目,从而允许机构方便地度量该机构相对特定信息安全性项目所处的位置,以及在时间上或者针对目标测量进度,即使该进度是逐渐的。另外,安全性评估矩阵可用作建议列表,详细说明机构如何达到其信息安全性目标。
[0035]此外,SMA方法易于应用,因为各项目以及与该项目相关的各成熟性等级的对应标准集合是明确定义的。另外,SMA方法是灵活的,因为它可用于多种目的。例如,SMA可用于向客户或管理机构确定机构具有所需能力来执行某个任务。SMA还可用于在时间上内部监测机构的管理所决定的改善。SMA还可用于满足某个工业标准或者达到通过分析竞争的安全性能力所建立的目标。
[0036]此外,本发明产生机构的信息安全性实施和策略的客观评分,从而消除了评估过程的主观因素。
[0037]虽然针对有限数量的实施例描述了本发明,但已经了解本公开的本领域的技术人员知道,可设计其它的实施例,而没有背离如本文所公开的本发明的范围。因此,本发明的范围应当仅受所附权利要求书的限制。
Claims (19)
1.一种用于评估机构的信息安全策略和实施的方法,包括:
确定与所述信息安全策略及实施相关的风险;
收集关于所述信息安全策略及实施的信息;
利用安全成熟性评估矩阵、所收集信息以及与所述信息安全策略及实施相关的风险来产生评分;
利用所述评分来产生校正活动的列表;
执行所述校正活动的列表以创建新的安全性信息策略及实施;以及
监测所述新的安全性信息策略及实施。
2.如权利要求1所述的方法,还包括:
当存在所述机构的信息安全性环境的变化时,利用所述安全性能力评估矩阵来产生新的评分。
3.如权利要求1所述的方法,还包括:
产生所述评分的图形评估。
4.如权利要求3所述的方法,其中,所述评分的所述图形评估通过安全成熟性评估上报工具来产生。
5.如权利要求4所述的方法,其中,所述安全成熟性评估上报工具包括在时间上跟踪所述安全性信息策略及实施的所述评分的功能性。
6.如权利要求4所述的方法,其中,所述安全成熟性评估上报工具包括以图形方式把所述评分与评分目标进行比较的功能性。
7.如权利要求1所述的方法,其中,所述所收集信息包括收集详细说明所述机构的信息安全策略及实施的文档。
8.如权利要求1所述的方法,所述安全性评估矩阵包括一种矩阵,在所述矩阵中,多列中的每一列表示成熟性等级,以及多行中的每一行表示特定信息安全性特征,使得所述多列其中之一与所述多行其中之一的交叉点为能力成熟性等级。
9.如权利要求8所述的方法,其中,所述多行中的每行为英国标准协会7799项目的分组。
10.如权利要求8所述的方法,其中,所述多行中的每行为概述信息安全性中的最佳模式实施的控制集合的分组。
11.如权利要求8所述的方法,其中,所述多行中的每行为国际标准化组织17799项目的分组。
12.如权利要求8所述的方法,其中,所述多列中的每列为根据软件工程协会的能力成熟性模型所定义的成熟性等级。
13.如权利要求9所述的方法,所述英国标准协会7799项目的所述分组包括英国标准协会7799分类。
14.如权利要求11所述的方法,所述国际标准化组织17799项目的所述分组包括国际标准化组织17799分类。
15.如权利要求1所述的方法,所述产生所述校正活动列表包括把所述安全性评估矩阵中的多个信息安全性项目的每个的机构的当前成熟性等级的描述与所述多个信息安全性项目的每个的预期成熟性等级的描述进行比较。
16.一种用于评估机构的信息安全策略和实施的设备,包括:
用于确定与所述信息安全策略及实施相关的风险的部件;
用于收集关于所述信息安全策略及实施的信息的部件;
用于利用安全成熟性评估矩阵、所收集信息以及与所述信息安全策略及实施相关的风险来产生评分的部件;
用于利用所述评分来产生校正活动的列表的部件;
用于执行所述校正活动的列表以创建新的安全性信息策略的部件;以及
用于监测所述新的安全性信息策略的部件。
17.如权利要求16所述的设备,还包括:
用于在存在所述机构的所述信息安全性环境的变化时,利用所述安全成熟性评估矩阵来产生新的评分的部件。
18.一种用于评估机构的信息安全策略和实施的计算机系统,包括:
处理器;
存储器;
输入部件;以及
软件指令,存储在所述存储器中,用于使所述计算机系统在所述处理器的控制下执行以下步骤:
确定与所述信息安全策略及实施相关的风险;
利用所述输入部件收集关于所述信息安全策略及实施的信息;
利用安全成熟性评估矩阵、所收集信息以及与所述信息安全策略及实施相关的风险来产生评分;
利用所述评分来产生校正活动的列表;
执行所述校正活动的列表以创建新的安全性信息策略及实施;以及
监测所述新的安全性信息策略及实施。
19.如权利要求18所述的计算机系统,还包括:
执行在存在所述机构的信息安全性环境的变化时利用所述安全成熟性评估矩阵来产生新的评分的软件指令。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/134,815 US7290275B2 (en) | 2002-04-29 | 2002-04-29 | Security maturity assessment method |
US10/134,815 | 2002-04-29 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1714327A true CN1714327A (zh) | 2005-12-28 |
Family
ID=29399206
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA038150425A Pending CN1714327A (zh) | 2002-04-29 | 2003-04-28 | 安全成熟性评估方法 |
Country Status (10)
Country | Link |
---|---|
US (2) | US7290275B2 (zh) |
EP (1) | EP1565797A2 (zh) |
CN (1) | CN1714327A (zh) |
AU (1) | AU2003243177A1 (zh) |
BR (1) | BR0304653A (zh) |
EC (1) | ECSP045457A (zh) |
MX (1) | MXPA04010698A (zh) |
RU (1) | RU2307395C2 (zh) |
WO (1) | WO2003093960A2 (zh) |
ZA (1) | ZA200409477B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102710598A (zh) * | 2011-04-19 | 2012-10-03 | 卡巴斯基实验室封闭式股份公司 | 用于减小计算机网络中的安全风险的系统和方法 |
CN103955427A (zh) * | 2014-04-29 | 2014-07-30 | 探月与航天工程中心 | 一种安全攸关系统的软件安全性保证的实现方法 |
WO2019019958A1 (en) * | 2017-07-25 | 2019-01-31 | Beijing DIDI Infinity Technology and Development Co., Ltd | SYSTEMS AND METHODS FOR DETERMINING AN OPTIMAL STRATEGY |
US10812491B2 (en) | 2009-09-09 | 2020-10-20 | International Business Machines Corporation | Differential security policies in email systems |
CN113780753A (zh) * | 2021-08-20 | 2021-12-10 | 深圳市广和通无线股份有限公司 | 数据处理方法、装置、计算机设备以及存储介质 |
CN114174936A (zh) * | 2019-07-24 | 2022-03-11 | 西门子股份公司 | 兼容性检查的自学习例程 |
US20220092510A1 (en) * | 2020-09-18 | 2022-03-24 | deepwatch, Inc. | Systems and methods for security operations maturity assessment |
Families Citing this family (349)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7162427B1 (en) * | 1999-08-20 | 2007-01-09 | Electronic Data Systems Corporation | Structure and method of modeling integrated business and information technology frameworks and architecture in support of a business |
JP4084914B2 (ja) * | 1999-09-29 | 2008-04-30 | 株式会社日立製作所 | セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置 |
US7774220B2 (en) | 1999-11-29 | 2010-08-10 | The Strategic Coach Inc. | Project management system for aiding users in attaining goals |
US7380270B2 (en) * | 2000-08-09 | 2008-05-27 | Telos Corporation | Enhanced system, method and medium for certifying and accrediting requirements compliance |
US6993448B2 (en) * | 2000-08-09 | 2006-01-31 | Telos Corporation | System, method and medium for certifying and accrediting requirements compliance |
US7673335B1 (en) | 2004-07-01 | 2010-03-02 | Novell, Inc. | Computer-implemented method and system for security event correlation |
US7882555B2 (en) * | 2001-03-16 | 2011-02-01 | Kavado, Inc. | Application layer security method and system |
US20030065942A1 (en) * | 2001-09-28 | 2003-04-03 | Lineman David J. | Method and apparatus for actively managing security policies for users and computers in a network |
US7937281B2 (en) * | 2001-12-07 | 2011-05-03 | Accenture Global Services Limited | Accelerated process improvement framework |
US7543056B2 (en) | 2002-01-15 | 2009-06-02 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
US7243148B2 (en) * | 2002-01-15 | 2007-07-10 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
US7257630B2 (en) | 2002-01-15 | 2007-08-14 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
US7290275B2 (en) * | 2002-04-29 | 2007-10-30 | Schlumberger Omnes, Inc. | Security maturity assessment method |
IL149583A0 (en) * | 2002-05-09 | 2003-07-06 | Kavado Israel Ltd | Method for automatic setting and updating of a security policy |
US7930753B2 (en) * | 2002-07-01 | 2011-04-19 | First Data Corporation | Methods and systems for performing security risk assessments of internet merchant entities |
WO2004008292A2 (en) * | 2002-07-16 | 2004-01-22 | Jp Morgan Chase Bank | System and method for managing business continuity |
US7761316B2 (en) * | 2002-10-25 | 2010-07-20 | Science Applications International Corporation | System and method for determining performance level capabilities in view of predetermined model criteria |
US6983221B2 (en) * | 2002-11-27 | 2006-01-03 | Telos Corporation | Enhanced system, method and medium for certifying and accrediting requirements compliance utilizing robust risk assessment model |
US20040103309A1 (en) * | 2002-11-27 | 2004-05-27 | Tracy Richard P. | Enhanced system, method and medium for certifying and accrediting requirements compliance utilizing threat vulnerability feed |
US6980927B2 (en) * | 2002-11-27 | 2005-12-27 | Telos Corporation | Enhanced system, method and medium for certifying and accrediting requirements compliance utilizing continuous risk assessment |
US7627891B2 (en) * | 2003-02-14 | 2009-12-01 | Preventsys, Inc. | Network audit and policy assurance system |
US8561175B2 (en) | 2003-02-14 | 2013-10-15 | Preventsys, Inc. | System and method for automated policy audit and remediation management |
US8201256B2 (en) * | 2003-03-28 | 2012-06-12 | Trustwave Holdings, Inc. | Methods and systems for assessing and advising on electronic compliance |
US20040250121A1 (en) * | 2003-05-06 | 2004-12-09 | Keith Millar | Assessing security of information technology |
AU2003233574B9 (en) * | 2003-05-17 | 2010-03-25 | Microsoft Corporation | Mechanism for evaluating security risks |
US20040260628A1 (en) * | 2003-06-17 | 2004-12-23 | Oracle International Corporation | Hosted audit service |
US8005709B2 (en) * | 2003-06-17 | 2011-08-23 | Oracle International Corporation | Continuous audit process control objectives |
US7941353B2 (en) * | 2003-06-17 | 2011-05-10 | Oracle International Corporation | Impacted financial statements |
US8296167B2 (en) | 2003-06-17 | 2012-10-23 | Nigel King | Process certification management |
US7899693B2 (en) * | 2003-06-17 | 2011-03-01 | Oracle International Corporation | Audit management workbench |
US20040260591A1 (en) * | 2003-06-17 | 2004-12-23 | Oracle International Corporation | Business process change administration |
US20050033628A1 (en) * | 2003-08-05 | 2005-02-10 | Alverson David J. | Contractor certification system |
US7069278B2 (en) * | 2003-08-08 | 2006-06-27 | Jpmorgan Chase Bank, N.A. | System for archive integrity management and related methods |
US20050050346A1 (en) * | 2003-08-28 | 2005-03-03 | Felactu Odessa John | Dynamic comprehensive global enterprise defensive security system |
US20050080720A1 (en) * | 2003-10-10 | 2005-04-14 | International Business Machines Corporation | Deriving security and privacy solutions to mitigate risk |
US7954151B1 (en) | 2003-10-28 | 2011-05-31 | Emc Corporation | Partial document content matching using sectional analysis |
US8601049B2 (en) | 2004-03-04 | 2013-12-03 | The United States Postal Service | System and method for providing centralized management and distribution of information to remote users |
US20050209899A1 (en) * | 2004-03-16 | 2005-09-22 | Oracle International Corporation | Segregation of duties reporting |
US8201257B1 (en) | 2004-03-31 | 2012-06-12 | Mcafee, Inc. | System and method of managing network security risks |
US7519954B1 (en) | 2004-04-08 | 2009-04-14 | Mcafee, Inc. | System and method of operating system identification |
GB0408328D0 (en) * | 2004-04-14 | 2004-05-19 | Imp College Innovations Ltd | Method of processing image data |
US20060036869A1 (en) * | 2004-08-12 | 2006-02-16 | Bill Faught | Methods and systems that provide user access to computer resources with controlled user access rights |
WO2006033727A2 (en) * | 2004-08-17 | 2006-03-30 | Mastercard International Incorporated | Compliance assessment and security testing of smart cards |
US20060059026A1 (en) * | 2004-08-24 | 2006-03-16 | Oracle International Corporation | Compliance workbench |
US20060074739A1 (en) * | 2004-09-20 | 2006-04-06 | Oracle International Corporation | Identifying risks in conflicting duties |
US8132225B2 (en) * | 2004-09-30 | 2012-03-06 | Rockwell Automation Technologies, Inc. | Scalable and flexible information security for industrial automation |
US20060089861A1 (en) * | 2004-10-22 | 2006-04-27 | Oracle International Corporation | Survey based risk assessment for processes, entities and enterprise |
US20060106686A1 (en) * | 2004-11-12 | 2006-05-18 | Oracle International Corporation | Audit procedures and audit steps |
US7278163B2 (en) * | 2005-02-22 | 2007-10-02 | Mcafee, Inc. | Security risk analysis system and method |
US7478419B2 (en) * | 2005-03-09 | 2009-01-13 | Sun Microsystems, Inc. | Automated policy constraint matching for computing resources |
US7523053B2 (en) * | 2005-04-25 | 2009-04-21 | Oracle International Corporation | Internal audit operations for Sarbanes Oxley compliance |
US20060253310A1 (en) * | 2005-05-09 | 2006-11-09 | Accenture Global Services Gmbh | Capability assessment of a training program |
US7926099B1 (en) | 2005-07-15 | 2011-04-12 | Novell, Inc. | Computer-implemented method and system for security event transport using a message bus |
US20070027734A1 (en) * | 2005-08-01 | 2007-02-01 | Hughes Brian J | Enterprise solution design methodology |
US8126768B2 (en) * | 2005-09-13 | 2012-02-28 | Computer Associates Think, Inc. | Application change request to deployment maturity model |
US8886551B2 (en) * | 2005-09-13 | 2014-11-11 | Ca, Inc. | Centralized job scheduling maturity model |
US8566147B2 (en) * | 2005-10-25 | 2013-10-22 | International Business Machines Corporation | Determining the progress of adoption and alignment of information technology capabilities and on-demand capabilities by an organization |
US8499330B1 (en) * | 2005-11-15 | 2013-07-30 | At&T Intellectual Property Ii, L.P. | Enterprise desktop security management and compliance verification system and method |
EP1808803A1 (en) * | 2005-12-15 | 2007-07-18 | International Business Machines Corporation | System and method for automatically selecting one or more metrics for performing a CMMI evaluation |
US7885841B2 (en) | 2006-01-05 | 2011-02-08 | Oracle International Corporation | Audit planning |
US20070180522A1 (en) * | 2006-01-30 | 2007-08-02 | Bagnall Robert J | Security system and method including individual applications |
US20070180525A1 (en) * | 2006-01-30 | 2007-08-02 | Bagnall Robert J | Security system and method |
US20070204323A1 (en) * | 2006-02-24 | 2007-08-30 | Rockwell Automation Technologies, Inc. | Auto-detection capabilities for out of the box experience |
US7930727B1 (en) * | 2006-03-30 | 2011-04-19 | Emc Corporation | System and method for measuring and enforcing security policy compliance for software during the development process of the software |
US7891003B2 (en) * | 2006-06-14 | 2011-02-15 | Microsoft Corporation | Enterprise threat modeling |
US10453029B2 (en) * | 2006-08-03 | 2019-10-22 | Oracle International Corporation | Business process for ultra transactions |
US9715675B2 (en) | 2006-08-10 | 2017-07-25 | Oracle International Corporation | Event-driven customizable automated workflows for incident remediation |
US20080047016A1 (en) * | 2006-08-16 | 2008-02-21 | Cybrinth, Llc | CCLIF: A quantified methodology system to assess risk of IT architectures and cyber operations |
US7984452B2 (en) | 2006-11-10 | 2011-07-19 | Cptn Holdings Llc | Event source management using a metadata-driven framework |
US8073880B2 (en) * | 2006-11-10 | 2011-12-06 | Computer Associates Think, Inc. | System and method for optimizing storage infrastructure performance |
US20080114700A1 (en) * | 2006-11-10 | 2008-05-15 | Moore Norman T | System and method for optimized asset management |
US20080167920A1 (en) * | 2006-11-29 | 2008-07-10 | Robert Schmidt | Methods and apparatus for developing cyber defense processes and a cadre of expertise |
US8010397B1 (en) * | 2007-01-23 | 2011-08-30 | Sprint Communications Company L.P. | Enterprise infrastructure development systems and methods |
US8955105B2 (en) * | 2007-03-14 | 2015-02-10 | Microsoft Corporation | Endpoint enabled for enterprise security assessment sharing |
US8413247B2 (en) * | 2007-03-14 | 2013-04-02 | Microsoft Corporation | Adaptive data collection for root-cause analysis and intrusion detection |
US8959568B2 (en) * | 2007-03-14 | 2015-02-17 | Microsoft Corporation | Enterprise security assessment sharing |
US20080229419A1 (en) * | 2007-03-16 | 2008-09-18 | Microsoft Corporation | Automated identification of firewall malware scanner deficiencies |
US20080244691A1 (en) * | 2007-03-30 | 2008-10-02 | Israel Hilerio | Dynamic threat vector update |
US20080244742A1 (en) * | 2007-04-02 | 2008-10-02 | Microsoft Corporation | Detecting adversaries by correlating detected malware with web access logs |
US20090030751A1 (en) * | 2007-07-27 | 2009-01-29 | Bank Of America Corporation | Threat Modeling and Risk Forecasting Model |
US8332918B2 (en) * | 2007-12-06 | 2012-12-11 | Novell, Inc. | Techniques for real-time adaptive password policies |
GB2458568B (en) * | 2008-03-27 | 2012-09-19 | Covertix Ltd | System and method for dynamically enforcing security policies on electronic files |
US8185488B2 (en) * | 2008-04-17 | 2012-05-22 | Emc Corporation | System and method for correlating events in a pluggable correlation architecture |
US8256004B1 (en) | 2008-10-29 | 2012-08-28 | Bank Of America Corporation | Control transparency framework |
US8196207B2 (en) * | 2008-10-29 | 2012-06-05 | Bank Of America Corporation | Control automation tool |
US10057285B2 (en) | 2009-01-30 | 2018-08-21 | Oracle International Corporation | System and method for auditing governance, risk, and compliance using a pluggable correlation architecture |
US11138528B2 (en) | 2009-08-03 | 2021-10-05 | The Strategic Coach | Managing professional development |
US20110066476A1 (en) * | 2009-09-15 | 2011-03-17 | Joseph Fernard Lewis | Business management assessment and consulting assistance system and associated method |
US11354614B2 (en) * | 2009-09-16 | 2022-06-07 | The Strategic Coach | Systems and methods for providing information relating to professional growth |
US10027711B2 (en) | 2009-11-20 | 2018-07-17 | Alert Enterprise, Inc. | Situational intelligence |
US10019677B2 (en) | 2009-11-20 | 2018-07-10 | Alert Enterprise, Inc. | Active policy enforcement |
WO2011063269A1 (en) * | 2009-11-20 | 2011-05-26 | Alert Enterprise, Inc. | Method and apparatus for risk visualization and remediation |
US8774946B2 (en) * | 2009-12-29 | 2014-07-08 | Verizon Patent And Licensing Inc. | Method and system for accurately determining service provider assets |
US8868728B2 (en) * | 2010-03-11 | 2014-10-21 | Accenture Global Services Limited | Systems and methods for detecting and investigating insider fraud |
US20110295653A1 (en) * | 2010-05-27 | 2011-12-01 | At&T Intellectual Property I, L.P. | Method, computer program product, and computer for management system and operating control (msoc) capability maturity model (cmm) |
US9830569B2 (en) | 2010-09-24 | 2017-11-28 | BitSight Technologies, Inc. | Security assessment using service provider digital asset information |
US10805331B2 (en) | 2010-09-24 | 2020-10-13 | BitSight Technologies, Inc. | Information technology security assessment system |
US20120117656A1 (en) * | 2010-11-10 | 2012-05-10 | Sap Ag | Security Validation of Business Processes |
US20140096256A1 (en) * | 2011-11-01 | 2014-04-03 | University Of Washington Through Its Center For Commercialization | Joint performance-vulnerability metric framework for designing ad hoc routing protocols |
CN102510337B (zh) * | 2011-12-15 | 2014-07-09 | 复旦大学 | 一种量化风险和收益自适应的动态多因子认证方法 |
US8826403B2 (en) * | 2012-02-01 | 2014-09-02 | International Business Machines Corporation | Service compliance enforcement using user activity monitoring and work request verification |
US9426169B2 (en) | 2012-02-29 | 2016-08-23 | Cytegic Ltd. | System and method for cyber attacks analysis and decision support |
US8782784B1 (en) * | 2012-09-25 | 2014-07-15 | Emc Corporation | Framework for implementing security incident and event management in an enterprise |
CN103888255B (zh) * | 2012-12-21 | 2017-12-22 | 中国移动通信集团公司 | 一种身份认证方法、装置及系统 |
US9336259B1 (en) * | 2013-08-08 | 2016-05-10 | Ca, Inc. | Method and apparatus for historical analysis analytics |
US9438615B2 (en) | 2013-09-09 | 2016-09-06 | BitSight Technologies, Inc. | Security risk management |
US9680858B1 (en) | 2013-09-09 | 2017-06-13 | BitSight Technologies, Inc. | Annotation platform for a security risk system |
WO2015120086A1 (en) * | 2014-02-04 | 2015-08-13 | Shoobx, Inc. | Computer-guided corporate governance with document generation and execution |
TWI509456B (zh) * | 2014-03-31 | 2015-11-21 | Ibm | 電腦裝置以及與電腦裝置通訊連結的安全性管理裝置 |
TW201537378A (zh) | 2014-03-31 | 2015-10-01 | Ibm | 電腦裝置以及與電腦裝置通訊連結的安全性管理裝置 |
US10599155B1 (en) | 2014-05-20 | 2020-03-24 | State Farm Mutual Automobile Insurance Company | Autonomous vehicle operation feature monitoring and evaluation of effectiveness |
US9972054B1 (en) | 2014-05-20 | 2018-05-15 | State Farm Mutual Automobile Insurance Company | Accident fault determination for autonomous vehicles |
US11669090B2 (en) | 2014-05-20 | 2023-06-06 | State Farm Mutual Automobile Insurance Company | Autonomous vehicle operation feature monitoring and evaluation of effectiveness |
US10185997B1 (en) | 2014-05-20 | 2019-01-22 | State Farm Mutual Automobile Insurance Company | Accident fault determination for autonomous vehicles |
US10373259B1 (en) | 2014-05-20 | 2019-08-06 | State Farm Mutual Automobile Insurance Company | Fully autonomous vehicle insurance pricing |
CN105279019B (zh) * | 2014-06-10 | 2018-11-23 | 中国移动通信集团公司 | 一种应用程序的调度方法、装置和终端设备 |
US9760849B2 (en) | 2014-07-08 | 2017-09-12 | Tata Consultancy Services Limited | Assessing an information security governance of an enterprise |
US10248796B2 (en) | 2014-07-08 | 2019-04-02 | Sap Se | Ensuring compliance regulations in systems with dynamic access control |
US9235716B1 (en) * | 2014-07-09 | 2016-01-12 | Sap Se | Automating post-hoc access control checks and compliance audits |
US9537893B2 (en) | 2014-07-09 | 2017-01-03 | Sap Se | Abstract evaluation of access control policies for efficient evaluation of constraints |
US10205593B2 (en) * | 2014-07-17 | 2019-02-12 | Venafi, Inc. | Assisted improvement of security reliance scores |
US10387962B1 (en) | 2014-07-21 | 2019-08-20 | State Farm Mutual Automobile Insurance Company | Methods of reconstructing an accident scene using telematics data |
CN104143128A (zh) * | 2014-07-21 | 2014-11-12 | 快威科技集团有限公司 | 信息系统安全评估指标的拓充方法及装置 |
CN104133992A (zh) * | 2014-07-21 | 2014-11-05 | 快威科技集团有限公司 | 基于信息安全评估相关性的评估基准构建方法及装置 |
US9729583B1 (en) | 2016-06-10 | 2017-08-08 | OneTrust, LLC | Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance |
US10289867B2 (en) | 2014-07-27 | 2019-05-14 | OneTrust, LLC | Data processing systems for webform crawling to map processing activities and related methods |
US10181051B2 (en) | 2016-06-10 | 2019-01-15 | OneTrust, LLC | Data processing systems for generating and populating a data inventory for processing data access requests |
US9944282B1 (en) | 2014-11-13 | 2018-04-17 | State Farm Mutual Automobile Insurance Company | Autonomous vehicle automatic parking |
JP5990242B2 (ja) * | 2014-11-25 | 2016-09-07 | 京セラドキュメントソリューションズ株式会社 | 画像形成装置、データ送信方法、及びデータ送信システム |
US10986131B1 (en) * | 2014-12-17 | 2021-04-20 | Amazon Technologies, Inc. | Access control policy warnings and suggestions |
US10122757B1 (en) * | 2014-12-17 | 2018-11-06 | Amazon Technologies, Inc. | Self-learning access control policies |
US11855768B2 (en) | 2014-12-29 | 2023-12-26 | Guidewire Software, Inc. | Disaster scenario based inferential analysis using feedback for extracting and combining cyber risk information |
US10341376B2 (en) | 2014-12-29 | 2019-07-02 | Guidewire Software, Inc. | Diversity analysis with actionable feedback methodologies |
WO2017078986A1 (en) | 2014-12-29 | 2017-05-11 | Cyence Inc. | Diversity analysis with actionable feedback methodologies |
US10050990B2 (en) | 2014-12-29 | 2018-08-14 | Guidewire Software, Inc. | Disaster scenario based inferential analysis using feedback for extracting and combining cyber risk information |
US11863590B2 (en) | 2014-12-29 | 2024-01-02 | Guidewire Software, Inc. | Inferential analysis using feedback for extracting and combining cyber risk information |
US9253203B1 (en) | 2014-12-29 | 2016-02-02 | Cyence Inc. | Diversity analysis with actionable feedback methodologies |
US9521160B2 (en) | 2014-12-29 | 2016-12-13 | Cyence Inc. | Inferential analysis using feedback for extracting and combining cyber risk information |
US9699209B2 (en) | 2014-12-29 | 2017-07-04 | Cyence Inc. | Cyber vulnerability scan analyses with actionable feedback |
US10050989B2 (en) | 2014-12-29 | 2018-08-14 | Guidewire Software, Inc. | Inferential analysis using feedback for extracting and combining cyber risk information including proxy connection analyses |
US10043030B1 (en) | 2015-02-05 | 2018-08-07 | Amazon Technologies, Inc. | Large-scale authorization data collection and aggregation |
US10404748B2 (en) | 2015-03-31 | 2019-09-03 | Guidewire Software, Inc. | Cyber risk analysis and remediation using network monitored sensors and methods of use |
US9946879B1 (en) * | 2015-08-27 | 2018-04-17 | Amazon Technologies, Inc. | Establishing risk profiles for software packages |
US11107365B1 (en) | 2015-08-28 | 2021-08-31 | State Farm Mutual Automobile Insurance Company | Vehicular driver evaluation |
US11441916B1 (en) | 2016-01-22 | 2022-09-13 | State Farm Mutual Automobile Insurance Company | Autonomous vehicle trip routing |
US10134278B1 (en) | 2016-01-22 | 2018-11-20 | State Farm Mutual Automobile Insurance Company | Autonomous vehicle application |
US11719545B2 (en) | 2016-01-22 | 2023-08-08 | Hyundai Motor Company | Autonomous vehicle component damage and salvage assessment |
US10395332B1 (en) | 2016-01-22 | 2019-08-27 | State Farm Mutual Automobile Insurance Company | Coordinated autonomous vehicle automatic area scanning |
US10824145B1 (en) | 2016-01-22 | 2020-11-03 | State Farm Mutual Automobile Insurance Company | Autonomous vehicle component maintenance and repair |
US10324463B1 (en) | 2016-01-22 | 2019-06-18 | State Farm Mutual Automobile Insurance Company | Autonomous vehicle operation adjustment based upon route |
US11242051B1 (en) | 2016-01-22 | 2022-02-08 | State Farm Mutual Automobile Insurance Company | Autonomous vehicle action communications |
US11182720B2 (en) | 2016-02-16 | 2021-11-23 | BitSight Technologies, Inc. | Relationships among technology assets and services and the entities responsible for them |
US20220164840A1 (en) | 2016-04-01 | 2022-05-26 | OneTrust, LLC | Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design |
US10176503B2 (en) | 2016-04-01 | 2019-01-08 | OneTrust, LLC | Data processing systems and methods for efficiently assessing the risk of privacy campaigns |
US10706447B2 (en) | 2016-04-01 | 2020-07-07 | OneTrust, LLC | Data processing systems and communication systems and methods for the efficient generation of privacy risk assessments |
US10423996B2 (en) | 2016-04-01 | 2019-09-24 | OneTrust, LLC | Data processing systems and communication systems and methods for the efficient generation of privacy risk assessments |
US10176502B2 (en) | 2016-04-01 | 2019-01-08 | OneTrust, LLC | Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design |
US9892443B2 (en) | 2016-04-01 | 2018-02-13 | OneTrust, LLC | Data processing systems for modifying privacy campaign data via electronic messaging systems |
US9898769B2 (en) | 2016-04-01 | 2018-02-20 | OneTrust, LLC | Data processing systems and methods for operationalizing privacy compliance via integrated mobile applications |
US11004125B2 (en) | 2016-04-01 | 2021-05-11 | OneTrust, LLC | Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design |
US11244367B2 (en) | 2016-04-01 | 2022-02-08 | OneTrust, LLC | Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design |
US9892444B2 (en) | 2016-04-01 | 2018-02-13 | OneTrust, LLC | Data processing systems and communication systems and methods for the efficient generation of privacy risk assessments |
US11544667B2 (en) | 2016-06-10 | 2023-01-03 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
US11366786B2 (en) | 2016-06-10 | 2022-06-21 | OneTrust, LLC | Data processing systems for processing data subject access requests |
US11038925B2 (en) | 2016-06-10 | 2021-06-15 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US11087260B2 (en) | 2016-06-10 | 2021-08-10 | OneTrust, LLC | Data processing systems and methods for customizing privacy training |
US10440062B2 (en) | 2016-06-10 | 2019-10-08 | OneTrust, LLC | Consent receipt management systems and related methods |
US10572686B2 (en) | 2016-06-10 | 2020-02-25 | OneTrust, LLC | Consent receipt management systems and related methods |
US11134086B2 (en) | 2016-06-10 | 2021-09-28 | OneTrust, LLC | Consent conversion optimization systems and related methods |
US10585968B2 (en) | 2016-06-10 | 2020-03-10 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
US11227247B2 (en) | 2016-06-10 | 2022-01-18 | OneTrust, LLC | Data processing systems and methods for bundled privacy policies |
US10282559B2 (en) | 2016-06-10 | 2019-05-07 | OneTrust, LLC | Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques |
US11416589B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
US11200341B2 (en) | 2016-06-10 | 2021-12-14 | OneTrust, LLC | Consent receipt management systems and related methods |
US10909265B2 (en) | 2016-06-10 | 2021-02-02 | OneTrust, LLC | Application privacy scanning systems and related methods |
US11222309B2 (en) | 2016-06-10 | 2022-01-11 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
US11023842B2 (en) | 2016-06-10 | 2021-06-01 | OneTrust, LLC | Data processing systems and methods for bundled privacy policies |
US10592648B2 (en) | 2016-06-10 | 2020-03-17 | OneTrust, LLC | Consent receipt management systems and related methods |
US10346637B2 (en) | 2016-06-10 | 2019-07-09 | OneTrust, LLC | Data processing systems for the identification and deletion of personal data in computer systems |
US10706379B2 (en) | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Data processing systems for automatic preparation for remediation and related methods |
US10762236B2 (en) | 2016-06-10 | 2020-09-01 | OneTrust, LLC | Data processing user interface monitoring systems and related methods |
US11294939B2 (en) | 2016-06-10 | 2022-04-05 | OneTrust, LLC | Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software |
US10706131B2 (en) | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Data processing systems and methods for efficiently assessing the risk of privacy campaigns |
US11228620B2 (en) | 2016-06-10 | 2022-01-18 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US11438386B2 (en) | 2016-06-10 | 2022-09-06 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US11188615B2 (en) | 2016-06-10 | 2021-11-30 | OneTrust, LLC | Data processing consent capture systems and related methods |
US10776517B2 (en) | 2016-06-10 | 2020-09-15 | OneTrust, LLC | Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods |
US11354434B2 (en) | 2016-06-10 | 2022-06-07 | OneTrust, LLC | Data processing systems for verification of consent and notice processing and related methods |
US11277448B2 (en) | 2016-06-10 | 2022-03-15 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US11157600B2 (en) | 2016-06-10 | 2021-10-26 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
US10706174B2 (en) | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Data processing systems for prioritizing data subject access requests for fulfillment and related methods |
US11295316B2 (en) | 2016-06-10 | 2022-04-05 | OneTrust, LLC | Data processing systems for identity validation for consumer rights requests and related methods |
US10776514B2 (en) | 2016-06-10 | 2020-09-15 | OneTrust, LLC | Data processing systems for the identification and deletion of personal data in computer systems |
US10944725B2 (en) | 2016-06-10 | 2021-03-09 | OneTrust, LLC | Data processing systems and methods for using a data model to select a target data asset in a data migration |
US11341447B2 (en) | 2016-06-10 | 2022-05-24 | OneTrust, LLC | Privacy management systems and methods |
US10706176B2 (en) | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Data-processing consent refresh, re-prompt, and recapture systems and related methods |
US10607028B2 (en) | 2016-06-10 | 2020-03-31 | OneTrust, LLC | Data processing systems for data testing to confirm data deletion and related methods |
US10885485B2 (en) | 2016-06-10 | 2021-01-05 | OneTrust, LLC | Privacy management systems and methods |
US10204154B2 (en) | 2016-06-10 | 2019-02-12 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
US11188862B2 (en) | 2016-06-10 | 2021-11-30 | OneTrust, LLC | Privacy management systems and methods |
US10685140B2 (en) | 2016-06-10 | 2020-06-16 | OneTrust, LLC | Consent receipt management systems and related methods |
US10509894B2 (en) | 2016-06-10 | 2019-12-17 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
US10289870B2 (en) | 2016-06-10 | 2019-05-14 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
US11301796B2 (en) | 2016-06-10 | 2022-04-12 | OneTrust, LLC | Data processing systems and methods for customizing privacy training |
US10769301B2 (en) | 2016-06-10 | 2020-09-08 | OneTrust, LLC | Data processing systems for webform crawling to map processing activities and related methods |
US11025675B2 (en) | 2016-06-10 | 2021-06-01 | OneTrust, LLC | Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance |
US10289866B2 (en) | 2016-06-10 | 2019-05-14 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
US10997315B2 (en) | 2016-06-10 | 2021-05-04 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
US10678945B2 (en) | 2016-06-10 | 2020-06-09 | OneTrust, LLC | Consent receipt management systems and related methods |
US11636171B2 (en) | 2016-06-10 | 2023-04-25 | OneTrust, LLC | Data processing user interface monitoring systems and related methods |
US10846433B2 (en) | 2016-06-10 | 2020-11-24 | OneTrust, LLC | Data processing consent management systems and related methods |
US10565236B1 (en) | 2016-06-10 | 2020-02-18 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
US10510031B2 (en) | 2016-06-10 | 2019-12-17 | OneTrust, LLC | Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques |
US11100444B2 (en) | 2016-06-10 | 2021-08-24 | OneTrust, LLC | Data processing systems and methods for providing training in a vendor procurement process |
US10275614B2 (en) | 2016-06-10 | 2019-04-30 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
US10430740B2 (en) | 2016-06-10 | 2019-10-01 | One Trust, LLC | Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods |
US10169609B1 (en) | 2016-06-10 | 2019-01-01 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
US10353673B2 (en) | 2016-06-10 | 2019-07-16 | OneTrust, LLC | Data processing systems for integration of consumer feedback with data subject access requests and related methods |
US10848523B2 (en) | 2016-06-10 | 2020-11-24 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US11562097B2 (en) | 2016-06-10 | 2023-01-24 | OneTrust, LLC | Data processing systems for central consent repository and related methods |
US11138299B2 (en) | 2016-06-10 | 2021-10-05 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
US11144622B2 (en) | 2016-06-10 | 2021-10-12 | OneTrust, LLC | Privacy management systems and methods |
US11418492B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing systems and methods for using a data model to select a target data asset in a data migration |
US10713387B2 (en) | 2016-06-10 | 2020-07-14 | OneTrust, LLC | Consent conversion optimization systems and related methods |
US10878127B2 (en) | 2016-06-10 | 2020-12-29 | OneTrust, LLC | Data subject access request processing systems and related methods |
US11651106B2 (en) | 2016-06-10 | 2023-05-16 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
US11651104B2 (en) | 2016-06-10 | 2023-05-16 | OneTrust, LLC | Consent receipt management systems and related methods |
US10949565B2 (en) | 2016-06-10 | 2021-03-16 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
US10909488B2 (en) | 2016-06-10 | 2021-02-02 | OneTrust, LLC | Data processing systems for assessing readiness for responding to privacy-related incidents |
US10997318B2 (en) | 2016-06-10 | 2021-05-04 | OneTrust, LLC | Data processing systems for generating and populating a data inventory for processing data access requests |
US10346638B2 (en) | 2016-06-10 | 2019-07-09 | OneTrust, LLC | Data processing systems for identifying and modifying processes that are subject to data subject access requests |
US10509920B2 (en) | 2016-06-10 | 2019-12-17 | OneTrust, LLC | Data processing systems for processing data subject access requests |
US10565161B2 (en) | 2016-06-10 | 2020-02-18 | OneTrust, LLC | Data processing systems for processing data subject access requests |
US10565397B1 (en) | 2016-06-10 | 2020-02-18 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
US11416109B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Automated data processing systems and methods for automatically processing data subject access requests using a chatbot |
US10726158B2 (en) | 2016-06-10 | 2020-07-28 | OneTrust, LLC | Consent receipt management and automated process blocking systems and related methods |
US10282692B2 (en) | 2016-06-10 | 2019-05-07 | OneTrust, LLC | Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques |
US11210420B2 (en) | 2016-06-10 | 2021-12-28 | OneTrust, LLC | Data subject access request processing systems and related methods |
US10496803B2 (en) | 2016-06-10 | 2019-12-03 | OneTrust, LLC | Data processing systems and methods for efficiently assessing the risk of privacy campaigns |
US10437412B2 (en) | 2016-06-10 | 2019-10-08 | OneTrust, LLC | Consent receipt management systems and related methods |
US11238390B2 (en) | 2016-06-10 | 2022-02-01 | OneTrust, LLC | Privacy management systems and methods |
US10282700B2 (en) | 2016-06-10 | 2019-05-07 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
US11328092B2 (en) | 2016-06-10 | 2022-05-10 | OneTrust, LLC | Data processing systems for processing and managing data subject access in a distributed environment |
US10614247B2 (en) | 2016-06-10 | 2020-04-07 | OneTrust, LLC | Data processing systems for automated classification of personal information from documents and related methods |
US11520928B2 (en) | 2016-06-10 | 2022-12-06 | OneTrust, LLC | Data processing systems for generating personal data receipts and related methods |
US10796260B2 (en) | 2016-06-10 | 2020-10-06 | OneTrust, LLC | Privacy management systems and methods |
US10592692B2 (en) | 2016-06-10 | 2020-03-17 | OneTrust, LLC | Data processing systems for central consent repository and related methods |
US10454973B2 (en) | 2016-06-10 | 2019-10-22 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US10496846B1 (en) | 2016-06-10 | 2019-12-03 | OneTrust, LLC | Data processing and communications systems and methods for the efficient implementation of privacy by design |
US10896394B2 (en) | 2016-06-10 | 2021-01-19 | OneTrust, LLC | Privacy management systems and methods |
US10708305B2 (en) | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Automated data processing systems and methods for automatically processing requests for privacy-related information |
US11625502B2 (en) | 2016-06-10 | 2023-04-11 | OneTrust, LLC | Data processing systems for identifying and modifying processes that are subject to data subject access requests |
US10949170B2 (en) | 2016-06-10 | 2021-03-16 | OneTrust, LLC | Data processing systems for integration of consumer feedback with data subject access requests and related methods |
US10776518B2 (en) | 2016-06-10 | 2020-09-15 | OneTrust, LLC | Consent receipt management systems and related methods |
US10803200B2 (en) | 2016-06-10 | 2020-10-13 | OneTrust, LLC | Data processing systems for processing and managing data subject access in a distributed environment |
US11146566B2 (en) | 2016-06-10 | 2021-10-12 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
US10452866B2 (en) | 2016-06-10 | 2019-10-22 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
US11403377B2 (en) | 2016-06-10 | 2022-08-02 | OneTrust, LLC | Privacy management systems and methods |
US11138242B2 (en) | 2016-06-10 | 2021-10-05 | OneTrust, LLC | Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software |
US10873606B2 (en) | 2016-06-10 | 2020-12-22 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US10235534B2 (en) | 2016-06-10 | 2019-03-19 | OneTrust, LLC | Data processing systems for prioritizing data subject access requests for fulfillment and related methods |
US10284604B2 (en) | 2016-06-10 | 2019-05-07 | OneTrust, LLC | Data processing and scanning systems for generating and populating a data inventory |
US10438017B2 (en) | 2016-06-10 | 2019-10-08 | OneTrust, LLC | Data processing systems for processing data subject access requests |
US11416798B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing systems and methods for providing training in a vendor procurement process |
US10740487B2 (en) | 2016-06-10 | 2020-08-11 | OneTrust, LLC | Data processing systems and methods for populating and maintaining a centralized database of personal data |
US10416966B2 (en) | 2016-06-10 | 2019-09-17 | OneTrust, LLC | Data processing systems for identity validation of data subject access requests and related methods |
US11475136B2 (en) | 2016-06-10 | 2022-10-18 | OneTrust, LLC | Data processing systems for data transfer risk identification and related methods |
US11343284B2 (en) | 2016-06-10 | 2022-05-24 | OneTrust, LLC | Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance |
US11222142B2 (en) | 2016-06-10 | 2022-01-11 | OneTrust, LLC | Data processing systems for validating authorization for personal data collection, storage, and processing |
US11481710B2 (en) | 2016-06-10 | 2022-10-25 | OneTrust, LLC | Privacy management systems and methods |
US10839102B2 (en) | 2016-06-10 | 2020-11-17 | OneTrust, LLC | Data processing systems for identifying and modifying processes that are subject to data subject access requests |
US11675929B2 (en) | 2016-06-10 | 2023-06-13 | OneTrust, LLC | Data processing consent sharing systems and related methods |
US10642870B2 (en) | 2016-06-10 | 2020-05-05 | OneTrust, LLC | Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software |
US11366909B2 (en) | 2016-06-10 | 2022-06-21 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
US10586075B2 (en) | 2016-06-10 | 2020-03-10 | OneTrust, LLC | Data processing systems for orphaned data identification and deletion and related methods |
US11057356B2 (en) | 2016-06-10 | 2021-07-06 | OneTrust, LLC | Automated data processing systems and methods for automatically processing data subject access requests using a chatbot |
US11074367B2 (en) | 2016-06-10 | 2021-07-27 | OneTrust, LLC | Data processing systems for identity validation for consumer rights requests and related methods |
US11222139B2 (en) | 2016-06-10 | 2022-01-11 | OneTrust, LLC | Data processing systems and methods for automatic discovery and assessment of mobile software development kits |
US11461500B2 (en) | 2016-06-10 | 2022-10-04 | OneTrust, LLC | Data processing systems for cookie compliance testing with website scanning and related methods |
US10853501B2 (en) | 2016-06-10 | 2020-12-01 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
US11416590B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
US10606916B2 (en) | 2016-06-10 | 2020-03-31 | OneTrust, LLC | Data processing user interface monitoring systems and related methods |
US11336697B2 (en) | 2016-06-10 | 2022-05-17 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US10318761B2 (en) | 2016-06-10 | 2019-06-11 | OneTrust, LLC | Data processing systems and methods for auditing data request compliance |
US10503926B2 (en) | 2016-06-10 | 2019-12-10 | OneTrust, LLC | Consent receipt management systems and related methods |
US10181019B2 (en) | 2016-06-10 | 2019-01-15 | OneTrust, LLC | Data processing systems and communications systems and methods for integrating privacy compliance systems with software development and agile tools for privacy design |
US11586700B2 (en) | 2016-06-10 | 2023-02-21 | OneTrust, LLC | Data processing systems and methods for automatically blocking the use of tracking tools |
US11727141B2 (en) | 2016-06-10 | 2023-08-15 | OneTrust, LLC | Data processing systems and methods for synching privacy-related user consent across multiple computing devices |
US10783256B2 (en) | 2016-06-10 | 2020-09-22 | OneTrust, LLC | Data processing systems for data transfer risk identification and related methods |
US10242228B2 (en) * | 2016-06-10 | 2019-03-26 | OneTrust, LLC | Data processing systems for measuring privacy maturity within an organization |
US11354435B2 (en) | 2016-06-10 | 2022-06-07 | OneTrust, LLC | Data processing systems for data testing to confirm data deletion and related methods |
US10798133B2 (en) | 2016-06-10 | 2020-10-06 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US11392720B2 (en) | 2016-06-10 | 2022-07-19 | OneTrust, LLC | Data processing systems for verification of consent and notice processing and related methods |
US11151233B2 (en) | 2016-06-10 | 2021-10-19 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
US10452864B2 (en) | 2016-06-10 | 2019-10-22 | OneTrust, LLC | Data processing systems for webform crawling to map processing activities and related methods |
US10467432B2 (en) | 2016-06-10 | 2019-11-05 | OneTrust, LLC | Data processing systems for use in automatically generating, populating, and submitting data subject access requests |
US11010717B2 (en) * | 2016-06-21 | 2021-05-18 | The Prudential Insurance Company Of America | Tool for improving network security |
CN106228310A (zh) * | 2016-08-02 | 2016-12-14 | 西南石油大学 | 一种基于企业基本行为轨迹的企业综合测评方法与系统 |
US10504045B2 (en) * | 2016-10-27 | 2019-12-10 | Sap Se | Audit schedule determination |
US10013577B1 (en) | 2017-06-16 | 2018-07-03 | OneTrust, LLC | Data processing systems for identifying whether cookies contain personally identifying information |
US10425380B2 (en) | 2017-06-22 | 2019-09-24 | BitSight Technologies, Inc. | Methods for mapping IP addresses and domains to organizations using user activity data |
US11057417B2 (en) * | 2017-06-23 | 2021-07-06 | Ido Ganor | Enterprise cyber security risk management and resource planning |
US10613905B2 (en) | 2017-07-26 | 2020-04-07 | Bank Of America Corporation | Systems for analyzing historical events to determine multi-system events and the reallocation of resources impacted by the multi system event |
JP2019061458A (ja) * | 2017-09-26 | 2019-04-18 | 京セラドキュメントソリューションズ株式会社 | 電子機器およびログアプリケーション |
US10824734B2 (en) | 2017-11-30 | 2020-11-03 | Bank Of America Corporation | System for recurring information security threat assessment |
US10607013B2 (en) | 2017-11-30 | 2020-03-31 | Bank Of America Corporation | System for information security threat assessment and event triggering |
US10616261B2 (en) | 2017-11-30 | 2020-04-07 | Bank Of America Corporation | System for information security threat assessment based on data history |
US11431740B2 (en) * | 2018-01-02 | 2022-08-30 | Criterion Systems, Inc. | Methods and systems for providing an integrated assessment of risk management and maturity for an organizational cybersecurity/privacy program |
US10257219B1 (en) | 2018-03-12 | 2019-04-09 | BitSight Technologies, Inc. | Correlated risk in cybersecurity |
US10812520B2 (en) | 2018-04-17 | 2020-10-20 | BitSight Technologies, Inc. | Systems and methods for external detection of misconfigured systems |
US11144675B2 (en) | 2018-09-07 | 2021-10-12 | OneTrust, LLC | Data processing systems and methods for automatically protecting sensitive data within privacy management systems |
US11544409B2 (en) | 2018-09-07 | 2023-01-03 | OneTrust, LLC | Data processing systems and methods for automatically protecting sensitive data within privacy management systems |
US10803202B2 (en) | 2018-09-07 | 2020-10-13 | OneTrust, LLC | Data processing systems for orphaned data identification and deletion and related methods |
US11200323B2 (en) | 2018-10-17 | 2021-12-14 | BitSight Technologies, Inc. | Systems and methods for forecasting cybersecurity ratings based on event-rate scenarios |
US10521583B1 (en) | 2018-10-25 | 2019-12-31 | BitSight Technologies, Inc. | Systems and methods for remote detection of software through browser webinjects |
US11347866B2 (en) * | 2019-02-04 | 2022-05-31 | Battelle Memorial Institute | Cybersecurity assessment and risk management tool |
US11409887B2 (en) * | 2019-05-08 | 2022-08-09 | Battelle Memorial Institute | Cybersecurity vulnerability mitigation framework |
US20200364346A1 (en) * | 2019-05-08 | 2020-11-19 | Battelle Memorial Institute | Secure design and development: intertwined management and technological security assessment framework |
US10726136B1 (en) | 2019-07-17 | 2020-07-28 | BitSight Technologies, Inc. | Systems and methods for generating security improvement plans for entities |
US11956265B2 (en) | 2019-08-23 | 2024-04-09 | BitSight Technologies, Inc. | Systems and methods for inferring entity relationships via network communications of users or user devices |
US10848382B1 (en) | 2019-09-26 | 2020-11-24 | BitSight Technologies, Inc. | Systems and methods for network asset discovery and association thereof with entities |
US11032244B2 (en) | 2019-09-30 | 2021-06-08 | BitSight Technologies, Inc. | Systems and methods for determining asset importance in security risk management |
US10791140B1 (en) | 2020-01-29 | 2020-09-29 | BitSight Technologies, Inc. | Systems and methods for assessing cybersecurity state of entities based on computer network characterization |
US10893067B1 (en) | 2020-01-31 | 2021-01-12 | BitSight Technologies, Inc. | Systems and methods for rapidly generating security ratings |
US10764298B1 (en) | 2020-02-26 | 2020-09-01 | BitSight Technologies, Inc. | Systems and methods for improving a security profile of an entity based on peer security profiles |
US20210294904A1 (en) * | 2020-03-20 | 2021-09-23 | 5thColumn LLC | Generation of an asset evaluation regarding a system aspect of a system |
US11023585B1 (en) | 2020-05-27 | 2021-06-01 | BitSight Technologies, Inc. | Systems and methods for managing cybersecurity alerts |
US11463483B2 (en) * | 2020-07-06 | 2022-10-04 | Cisco Technology, Inc. | Systems and methods for determining effectiveness of network segmentation policies |
US11797528B2 (en) | 2020-07-08 | 2023-10-24 | OneTrust, LLC | Systems and methods for targeted data discovery |
EP4189569A1 (en) | 2020-07-28 | 2023-06-07 | OneTrust LLC | Systems and methods for automatically blocking the use of tracking tools |
US11475165B2 (en) | 2020-08-06 | 2022-10-18 | OneTrust, LLC | Data processing systems and methods for automatically redacting unstructured data from a data subject access request |
US11436373B2 (en) | 2020-09-15 | 2022-09-06 | OneTrust, LLC | Data processing systems and methods for detecting tools for the automatic blocking of consent requests |
US20230334158A1 (en) | 2020-09-21 | 2023-10-19 | OneTrust, LLC | Data processing systems and methods for automatically detecting target data transfers and target data processing |
US11397819B2 (en) | 2020-11-06 | 2022-07-26 | OneTrust, LLC | Systems and methods for identifying data processing activities based on data discovery results |
CN112532596B (zh) * | 2020-11-18 | 2023-04-18 | 北京泰豪智能工程有限公司 | 一种网络安全方案和策略生成方法及装置 |
CN112418652B (zh) * | 2020-11-19 | 2024-01-30 | 税友软件集团股份有限公司 | 一种风险识别方法及相关装置 |
US11122073B1 (en) | 2020-12-11 | 2021-09-14 | BitSight Technologies, Inc. | Systems and methods for cybersecurity risk mitigation and management |
US11687528B2 (en) | 2021-01-25 | 2023-06-27 | OneTrust, LLC | Systems and methods for discovery, classification, and indexing of data in a native computing system |
US11442906B2 (en) | 2021-02-04 | 2022-09-13 | OneTrust, LLC | Managing custom attributes for domain objects defined within microservices |
US11494515B2 (en) | 2021-02-08 | 2022-11-08 | OneTrust, LLC | Data processing systems and methods for anonymizing data samples in classification analysis |
US11601464B2 (en) | 2021-02-10 | 2023-03-07 | OneTrust, LLC | Systems and methods for mitigating risks of third-party computing system functionality integration into a first-party computing system |
WO2022178089A1 (en) | 2021-02-17 | 2022-08-25 | OneTrust, LLC | Managing custom workflows for domain objects defined within microservices |
US11546661B2 (en) | 2021-02-18 | 2023-01-03 | OneTrust, LLC | Selective redaction of media content |
US11533315B2 (en) | 2021-03-08 | 2022-12-20 | OneTrust, LLC | Data transfer discovery and analysis systems and related methods |
US11562078B2 (en) | 2021-04-16 | 2023-01-24 | OneTrust, LLC | Assessing and managing computational risk involved with integrating third party computing functionality within a computing system |
US11921854B2 (en) | 2021-06-29 | 2024-03-05 | Acronis International Gmbh | Malware detection quality control |
US20230112966A1 (en) * | 2021-09-30 | 2023-04-13 | Dell Products L.P. | Method and system for generating security findings acquisition records for systems and system components |
US20230316184A1 (en) * | 2022-03-30 | 2023-10-05 | International Business Machines Corporation | Automated compliance benchmark management |
US11620142B1 (en) | 2022-06-03 | 2023-04-04 | OneTrust, LLC | Generating and customizing user interfaces for demonstrating functions of interactive user environments |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6286102B1 (en) * | 1996-04-30 | 2001-09-04 | International Business Machines Corporation | Selective wireless disablement for computers passing through a security checkpoint |
US6367020B1 (en) * | 1998-03-09 | 2002-04-02 | Micron Technology, Inc. | System for automatically initiating a computer security and/or screen saver mode |
US6352155B1 (en) * | 2001-01-22 | 2002-03-05 | Compx International Inc. | Personal computer storage and security case |
US7290275B2 (en) * | 2002-04-29 | 2007-10-30 | Schlumberger Omnes, Inc. | Security maturity assessment method |
US7124145B2 (en) * | 2003-03-27 | 2006-10-17 | Millennium It (Usa) Inc. | System and method for dynamic business logic rule integration |
US7457794B2 (en) * | 2004-10-14 | 2008-11-25 | Sap Ag | Searching for customized processing rules for a computer application |
US7970729B2 (en) * | 2004-11-18 | 2011-06-28 | Sap Aktiengesellschaft | Enterprise architecture analysis framework database |
EP1675047A1 (en) * | 2004-12-24 | 2006-06-28 | International Business Machines Corporation | Method for creating and verifying a privacy policy from a process model, and corresponding computing device and computer program element |
-
2002
- 2002-04-29 US US10/134,815 patent/US7290275B2/en not_active Expired - Fee Related
-
2003
- 2003-04-28 BR BR0304653-2A patent/BR0304653A/pt not_active IP Right Cessation
- 2003-04-28 RU RU2004134589/09A patent/RU2307395C2/ru not_active IP Right Cessation
- 2003-04-28 WO PCT/US2003/013298 patent/WO2003093960A2/en not_active Application Discontinuation
- 2003-04-28 AU AU2003243177A patent/AU2003243177A1/en not_active Abandoned
- 2003-04-28 MX MXPA04010698A patent/MXPA04010698A/es unknown
- 2003-04-28 EP EP03747612A patent/EP1565797A2/en not_active Withdrawn
- 2003-04-28 CN CNA038150425A patent/CN1714327A/zh active Pending
-
2004
- 2004-11-24 ZA ZA200409477A patent/ZA200409477B/en unknown
- 2004-11-29 EC EC2004005457A patent/ECSP045457A/es unknown
-
2007
- 2007-09-20 US US11/858,832 patent/US20090265787A9/en not_active Abandoned
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10812491B2 (en) | 2009-09-09 | 2020-10-20 | International Business Machines Corporation | Differential security policies in email systems |
CN102710598A (zh) * | 2011-04-19 | 2012-10-03 | 卡巴斯基实验室封闭式股份公司 | 用于减小计算机网络中的安全风险的系统和方法 |
CN102710598B (zh) * | 2011-04-19 | 2015-03-11 | 卡巴斯基实验室封闭式股份公司 | 用于减小计算机网络中的安全风险的系统和方法 |
CN103955427A (zh) * | 2014-04-29 | 2014-07-30 | 探月与航天工程中心 | 一种安全攸关系统的软件安全性保证的实现方法 |
CN103955427B (zh) * | 2014-04-29 | 2016-08-24 | 探月与航天工程中心 | 一种安全攸关系统的软件安全性保证的实现方法 |
WO2019019958A1 (en) * | 2017-07-25 | 2019-01-31 | Beijing DIDI Infinity Technology and Development Co., Ltd | SYSTEMS AND METHODS FOR DETERMINING AN OPTIMAL STRATEGY |
CN114174936A (zh) * | 2019-07-24 | 2022-03-11 | 西门子股份公司 | 兼容性检查的自学习例程 |
US20220092510A1 (en) * | 2020-09-18 | 2022-03-24 | deepwatch, Inc. | Systems and methods for security operations maturity assessment |
US11631042B2 (en) * | 2020-09-18 | 2023-04-18 | deepwatch, Inc. | Systems and methods for security operations maturity assessment |
US20230252393A1 (en) * | 2020-09-18 | 2023-08-10 | deepwatch, Inc. | Systems and methods for security operations maturity assessment |
US11966871B2 (en) * | 2020-09-18 | 2024-04-23 | deepwatch, Inc. | Systems and methods for security operations maturity assessment |
CN113780753A (zh) * | 2021-08-20 | 2021-12-10 | 深圳市广和通无线股份有限公司 | 数据处理方法、装置、计算机设备以及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
US20080209565A2 (en) | 2008-08-28 |
WO2003093960A8 (en) | 2004-05-21 |
US7290275B2 (en) | 2007-10-30 |
RU2004134589A (ru) | 2005-06-27 |
US20090265787A9 (en) | 2009-10-22 |
ZA200409477B (en) | 2005-06-08 |
MXPA04010698A (es) | 2005-05-17 |
RU2307395C2 (ru) | 2007-09-27 |
BR0304653A (pt) | 2004-12-21 |
WO2003093960A2 (en) | 2003-11-13 |
WO2003093960A9 (en) | 2005-06-30 |
ECSP045457A (es) | 2005-05-30 |
AU2003243177A1 (en) | 2003-11-17 |
US20040010709A1 (en) | 2004-01-15 |
US20080047018A1 (en) | 2008-02-21 |
EP1565797A2 (en) | 2005-08-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1714327A (zh) | 安全成熟性评估方法 | |
US20060136327A1 (en) | Risk control system | |
CA2583401C (en) | Systems and methods for monitoring business processes of enterprise applications | |
Peltier | Risk analysis and risk management | |
US20160182544A1 (en) | Method of protecting a network computer system from the malicious acts of hackers and its own system administrators | |
Kohnke et al. | Implementing cybersecurity: A guide to the national institute of standards and technology risk management framework | |
Kenyon | ISO 27001 controls–A guide to implementing and auditing | |
Xie et al. | SQUARE project: cost/benefit analysis framework for information security improvement projects in small companies | |
Campbell et al. | A modular approach to computer security risk management | |
Lubis et al. | The development of information system security operation centre (SOC): case study of auto repair company | |
Hakim et al. | Using the information security index to measure university information security management: concepts and strategies | |
Mödinger | Metrics and key performance indicators for information security reports of universities | |
Ma | Study on architecture-oriented information security risk assessment model | |
Vázquez Ruiz | Design of a Framework for the Best Practices in Computer Forensics within the Cybersecurity Infrastructure in the Regulated Industry | |
Davis | Healthcare Entities and Data Breach Threat Indicators and Deterrence: A Quantitative Study | |
Zhang et al. | The Whole Process of E-commerce Security Management System | |
Simpson | An Introduction to Computer Auditing | |
Centers | Department of Homeland Security | |
Amanuel | INFORMATION SECURITY RISK MANAGEMENT IN INDUSTRIAL INFORMATION SYSTEM | |
Burney | Roles and responsibilities of the information systems security officer | |
Osaji | Cybersecurity Framework Report | |
Cornelissen | Investigating insider threats: problems and solutions | |
Kane et al. | Information protection playbook | |
Andrade Mafla | Proposal for Information Security Risk Mitigation Practices Based on a Regulatory Approach | |
Moore | Carrie Gardner Angela Horneman Daniel Costa |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |