​项目管理​

​·​​ ​​确定信息安全管理项目的整体战略和计划​

​·​​ ​​确保项目符合组织最关键业务的需要​

​·​​ ​​与反欺诈、​​e-Discovery​​、物理安全、产品安全和​​/​​或保护隐私等相关任务相协调​

​安全策略和标准​

​·​​ ​​制定并记录规定组织保护信息方法的总体方向和规则​

​·​​ ​​制定一套完整的管理、技术和物理信息安全控制措施（即控制措施框架）供组织使用，包括访问控制、加密、身份识别和认证、配置管理、监控、审计日志、应用程序安全性和意识培训（面对员工和客户）。​

​·​​ ​​兼顾各种法律和法规（如​​ SOX​​、​​HIPAA ​​和​​ PCI​​）的要求​

​·​​ ​​确保控制措施灵活敏捷并可以跟踪业务和威胁形势中的变化​

​控制措施实施​

​·​​ ​​根据策略、标准和内外部环境因素，实施控制措施​

​控制措施运行​

​·​​ ​​根据策略、标准和内外部环境因素，运行控制措施​

​控制措施设计​

​（安全体系结构）​

​·​​ ​​根据业务、​​IT ​​和威胁形势的变化，开发新的控制措施或实施方法​

​·​​ ​​新控制措施或实施方法包括应用程序开发技术，指定、部署、定制和​​/​​或开发新的安全技术，和新的终端用户协议及程序​

​控制措施监管​​/​​保证​

​·​​ ​​评估所有控制措施，确保其符合政策和标准​

​·​​ ​​核实所有控制措施均已落实到位，并如预期执行​

​·​​ ​​确保所有控制措施均受到持续监控并业经证明​

​事件响应​​/​​恢复能力​

​·​​ ​​协调和管理组织对安全事件的响应，包括保障业务连续性​​/​​灾难恢复​

​信息风险评估​

​·​​ ​​根据信息价值、数据资产、相关威胁和漏洞、发生安全危害的可能性、对组织的影响（如信誉、收入、违反相关监管规定）和估算损失，对计划、流程、项目、举措或系统的风险进行评估​

​信息风险管理​​/​

​业务风险对比报酬分析​

​·​​ ​​确定风险承担人的风险偏好和授权的风险接受程度​

​·​​ ​​根据对特定计划、流程、项目、举措或系统的风险评估，制定风险缓解和补救策略​

​·​​ ​​采用一套统一的流程，来根据业务报酬衡量信息安全风险大小​

​·​​ ​​确定所需的控制措施，以将风险降低到可接受的水平​

​·​​ ​​将信息风险整合入企业风险管理框架​​/​​计划中​

​资产清查和估值​

​·​​ ​​对组织所使用的业务流程、敏感数据和信息系统进行清查并完整编目​

​·​​ ​​建立全面的业务流程文件汇编和数据流描绘图，以深入了解需要保护的流程和数据，并制定保护策略​

​·​​ ​​确定整个企业范围内可访问关键系统的特权用户​

​·​​ ​​确定资产价值，以排定保护策略的优先顺序​

​第三方风险管理​​/​

​IT​​供应链完整性​

​·​​ ​​确保在组织与第三方建立合作关系前，先进行风险评估​

​·​​ ​​建立尽职调查流程，对供应商和合作伙伴进行评估​

​·​​ ​​持续评估同供应商和合作伙伴开展业务合作中涉及的风险​

​·​​ ​​了解​​ IT ​​供应链，并对企业​​ IT ​​环境中使用的硬件和软件进行安全性评估​

​·​​ ​​通过共享评估结果和持续监控控制措施，来提高效率​

​网络风险情报和威胁分析​

​·​​ ​​了解对于企业资产（形象、能力、动机、目标）的威胁形势​

​·​​ ​​收集组织所面临的威胁的相关情报数据​

​·​​ ​​管理情报数据来源，解读数据，开展分析，并生成威胁情报报告和警报​

​·​​ ​​将威胁模型和情报整合到整个安全管理流程和生命周期中​

​安全数据分析​

​·​​ ​​使用高级分析技术和数据科学，分析情报数据带来的更丰富的安全数据​

​·​​ ​​开发查询、算法和数据模型，用于检测或预测恶意活动​

​安全数据管理和数据仓库存储​

​·​​ ​​制定数据管理战略，建立基础架构，对多个来源（安全系统、数据库、应用程序、威胁源）的安全数据进行汇总和分析，供多种不同用途（如威胁检测、企业风险管理和法规遵从性、持续控制措施监控）​

​·​​ ​​为安全数据构建数据仓库​

​安全流程优化​

​·​​ ​​持续跟踪和衡量安全流程的效率，并利用正规化的质量管理、项目管理和服务提供方法实施改进​

​长远规划​

​·​​ ​​关注业务、科技和法规的未来发展趋势，以制定积极主动的安全战略。例如，“物联网”和可穿戴式电脑设备等科技发展都正在带来全新的安全挑战​