Уровни зрелости информационной безопасности компании и необходимые меры защиты

[itGuevara]

Уровни зрелости информационной безопасности компании

Видимо более правильно это называть: Уровни (чаще «модель») зрелости Процессов управления информационной безопасностью

Выделили 4 уровня ИБ-зрелости компании 

Вы утверждаете, что эти уровни придуманы Вами? Другие подобные модели зрелости смотрели?  

В любом случае, предлагаю добавить (в любую модель) еще уровень, на котором:

А) Процессная модель. В компании будет построена процессная модель информационной безопасности: хотя бы в крупную клетку описаны в графической нотации (VAD, EPC) все процессы, к ним паспорта процессов, владельцы и т.п. Т.е. понятно «кто что делает» и «с кем и как взаимодействует». Понятно, что не через прочтение букф десятка пухлых нормативных документов компании (текстовых регламентов) и проведения расследования «что же там понаписано» с перекрёстным допросом авторов документов.

Б) Онтологическая модель. Хорошо, для этого уровня в компании будет достаточно просто таксономии, типа иерархии терминов, как показано тут (InformationSecurityOntology). Сейчас такая путаница в терминах (там же) …

В) оперНадежность. Информационная безопасность рассматривается как составная часть общей системы управления непрерывностью бизнеса, операционными рисками компании, включая операционную надежность (Operational resilience). Внедрена интеграция (прямое взаимодействие) систем управления безопасностью и оперРисками, включая оперНадежность.

Полагаю, что для читателей банковского блога it площадки понятие оперНадежность пояснять не нужно, а у вплотную с ним знакомых - при его упоминании начинается нервный тик …

[0CYBEaR0]

Даже не стану комментировать статью. Достаточно того, что управление мобильными устройствами

Системы управления мобильными устройствами (DMD),

это MDM (mobile device management). Модель очень поверхностная

[skippy163]

А есть ли какие-то обещпринятые модели зрелости ИБ, где всё также будет прописано и от которой можно было бы отталкиваться?

[andrettv]

https://habr.com/ru/companies/owasp/articles/817241/

[alexhott]

Знаю компанию - офис 5 человек, из перечисленного нет ничего. Какой у нее уровень зрелости по безопасности?
Задайте руководителю один вопрос - что вы сделали после инцидента по информационной безопасности? Ответ - 99% - искали виновного, потом все предприятие писало 100500 новых регламентов.