1、 2021 Gartner,Inc.及/或其关联公司版权所有。保留所有权利。CM_GTS_1390702Gartner IT领导者领导者使用信息安全项目成熟路使用信息安全项目成熟路线图，保护企业商业资产线图，保护企业商业资产提高信息安全项目安全能力和有效性所必需的关键组成部分有提高信息安全项目安全能力和有效性所必需的关键组成部分有哪些？哪些？越来越多的企业高管都开始意识到，信息安全问题可能会对企业造成不可修复的损害，因此信息安全的重要性也随之迅速提升。到2023年，30%的首席信息安全官(CISO)将以“为业务部门创造的价值”作为其业务绩效的直接评估标准。因此，安全与风险管理领导者必须制定和实

2、施信息安全愿景，而该愿景需要既能大规模创造数字价值，又能切实管理安全风险。然而，提高信息安全能力及其有效性的关键在于成熟的框架，且该框架能够根据内外部各种因素来计划、建立、报告和修改信息安全活动。如果企业机构缺乏信息安全项目，那么其信息安全活动将不过是众多技术性实践的单纯集合，不能系统地解决信息安全风险和施以相应的对策。成熟的信息安全项目由七个部分组成，可高效满足企业机构的目标。信息安全项目的信息安全项目的7+17+1个目标个目标来源：Gartner评估和管理风险Gartner IT领导者使用信息安全项目成熟路线图，保护企业商业资产2 21.1.识别识别5.5.管理管理管理职能部门管理员工和劳

3、动力战略2.2.规划规划6.6.运营运营进行运营管理吸引并支持利益相关方3.3.进行沟通进行沟通7.7.保障保障提供保障保护基础设施4.4.保护保护管理信息安全项目成为客户如何调整信息安全项目以应对新一代威胁？如何调整信息安全项目以应对新一代威胁？成熟的信息安全项目是由政策、流程和架构实践组成的强大的治理集合，它提供了：用户、系统和配置活动的边界 针对设计、实施和运营的指导成熟的信息安全项目必须能够适应新一代威胁及其给企业机构带来的风险，并满足业务部门的需求和要求。信息安全项目的开发需要时间，需要具备可高度演进，能够针对变化进行自我调整的特性。而达到这种成熟度水平的信息安全项目需要整个团队的共

4、同努力。首席信息安全官（CISO）必须意识到，作为具体技能的使用者，销售、市场和其他业务部门的负责人都是其重要的合作伙伴。而且，安全风险往往大规模发生在IT之外的部门。董事会对安全和风险管理的关注度越来越稿，90%的安全和风险管理领导者在过去一年中至少向其董事会汇报过一次信息安全问题。到2024年，60%的CISO将与销售、财务和市场等关键部门的领导者建立重要的伙伴关系。9090%6060%使用信息安全项目成熟路线图，保护企业商业资产3 3来源：GartnerGartner IT领导者成为客户主要包括哪些关键主要包括哪些关键步骤步骤？通过与已成功实施信息安全项目的客户的沟通互动，Gartner

5、从中整理出了最佳实践洞察。路线图则展示了实现目标和预期成果的优先顺序，可用于协调所有利益相关方。下面将重点介绍一些关键步骤和相关的Gartner资源样本，更多细节请参阅完整版路线图。成熟的信息安全项目需要解决的一些重要问题：成熟的信息安全项目需要解决的一些重要问题：使用信息安全项目成熟路线图，保护企业商业资产4 43 3如何使用商业语言传达信息安全的价值？信息安全项目的组成部分有哪些？1 1实施和维护信息安全项目的流程是怎样的？战略计划战略计划评估项目评估项目制定战略制定战略进行沟通进行沟通再次评估、优化改进再次评估、优化改进2 2Gartner IT领导者成为客户战略计划战略计划确定信息安全

6、计划和预期的关键成果措施：Gartner提供的资源包括：研究报告：2021年领导力前瞻：安全与风险管理 研究报告：安全与风险管理IT Score评价模型 研究报告：信息安全控制映射工具 分析师问询：确定项目的目标和价值，以及关键利益相关方的角色和职责+更多了解关键业务重点，确定项目的使命、愿景；明晰业务、技术和威胁的驱动因素。明确项目的目标和价值，确定关键利益相关方的角色和职责。根据企业机构战略制定安全控制措施，并映射到标准化的安全框架中。评估项目评估项目使用信息安全项目成熟路线图，保护企业商业资产5 5制定战略制定战略进行沟通进行沟通再次评估、优化改进再次评估、优化改进战略计划战略计划+更多