如何增强政府机构IT管理的韧性？（上）

政府部门中IT运维管理的复杂性和波动性与日俱增。从经济波动到网络风险， 政府机构面临多种挑战，要求其具备适应性、灵活性，最重要的是——韧性。本文概述了建立政府机构IT韧性的核心要点，帮助其应对不确定性、 降低风险并变得更加强大。我们深入探讨了包括风险管理、加强供应链、合规、促进创新、优化资源分配以及强化终端安全等必要策略。通过这些方法，政府组织可以提升其抵御冲击的能力，并自信地为公众提供必要服务。以下内容旨在为政府领导者、政策制定者以及寻求为其机构和部门应对未来不确定性做好准备的IT专业人士提供蓝图。

 

统一关注危机和风险管理

 

 

保护关键信息系统免受未来风险在很大程度上依赖于现有风险管理的成熟度。风险管理不再是合规性演练的一部分，而需要在所有部门之间采取统一、一致和有纪律的方法。不同的政府职能或社区具有不同的响应机制，这与其各自的风险承受能力相对应，所有这些应当经过充分记录，以便进行持续监测和长期规划。

 

 

涉及的风险：

• 部门之间缺乏协调和合作。
• 危机期间关键服务和基础设施恢复的延迟。
• 经常成为攻击行为者的目标。
• 国家或国际声誉受损。
• 公众信任丧失，保护公众相关数据安全。

关键要点：

• 增强协作，促进信息共享，以建立对策和事件响应框架。
• 在各职能和行业之间标准化和集中风险评估框架。
• 设立一个机构或委员会，以监督和协调政府范围内的危机和风险管理工作。
• 将风险管理原则融入所有政府部门。

解决方案：

• 投资自动化，保护终端，以增强网络防御能力。
• 定期评估政府的准备情况，通过网络演习识别改进领域。
• 定义泄露准备、响应和恢复的标准与协议。
• 优先保护关键云基础设施。

 

 

利用SIEM工具聚合来自各种安全源的数据，以实现集中监控、威胁检测和更快速的事件响应。

 

 

政府各个层面之间的战略协调

 

 

各政府部门和机构层级往往处于孤岛状态。这导致沟通和协作有限，最终造成低效、重复的工作，以及最重要的——错失机会。正如应急管理、公共卫生和基础设施机构之间的协作对于灾难响应至关重要，促进战略协调与规划可以帮助政府打破孤岛，朝着共同目标共同努力，最终更好地为公众服务。

涉及的风险：

 

 

• 上级部门向下级组织的知识传播几乎为零，导致知识分享受到限制。
• 孤立的方法可能阻碍信息部门找到复杂问题的创造性解决方案。
• 服务交付碎片化，导致用户体验下降。

 

 

关键要点：

组织多个部门人员参与的联合训练和研讨会。

建立明确、标准化的沟通协议，并如有必要——制定升级程序，以确保各级之间信息交流的及时和高效。

解决方案：

通过整合跨部门的网络专业知识和资源，鼓励协作和信息共享。一种方法是利用知识中心（政府或商业）来支持缺乏内部安全能力的不同IT团队。

对公共和供应商团队进行联合网络事件响应的培训，并结合演练以增强你们共同抵御网络攻击的能力，从而提高韧性。

 

 

通过治理确保供应商安全

 

 

您的供应链不是一夜之间建立的。它是一种随着时间推移而构建的网络，没有适当的治理，无法在长期内维持。通过实施强有力的治理措施，政府/公共实体可以建立一个更加灵活的供应链生态系统，以应对任何灾难和紧急情况。有效的治理使领导者拥有更多的责任，确保资源和服务能够到达最终用户——公众。

涉及的风险：

 

 

• 对自然灾害的响应延迟导致生命损失和基础设施损坏加剧。
• 关键公共信息系统超负荷运作。
• 关键服务和操作的中断。
• 缺乏监督和有限的可见性。

 

 

关键要点：

 

 

• 选择正确的治理手册。
• 建立信任是增强网络安全的关键。
• 在警报响起前识别关键角色和责任实体。
• 通过演练和联合演习加强个体实体，同时关注整体改进。
• 让供应商对齐安全标准。

 

 

解决方案：

 

 

• 部署一个适当的变更管理系统。
• 通过假设网络始终面临内部和外部威胁来采用零信任框架。
• 评估和缓解与软件和硬件供应商相关的安全风险。

 

 

为所有参与IT采购和使用的利益相关者建立政策，定义角色和责任，包括政府 机构、供应商。

 

 

确保合规管理

 

 

政府机构负责维护公众数据、公共记录、基础设施和敏感数据，这些对于国家安全至关重要。强有力的治理和合规确保数据保护，特别是在对抗黑客活动时。重要的是，通过提高意识和主动的风险管理，而不仅仅将其视为一项简单的检查项目或生产力的障碍。

涉及的风险：

 

 

• 缺乏合规性比表面合规性更糟糕——表面合规性源于对法规重要方面的忽视所导致的自满心态。
• 职工可能会将合规视为一种差事，而非一项长期责任。
• 合规差距可能导致组织在不知情的情况下产生意外违规，使其易受利用这些差距的攻击。

 

 

关键要点：

 

 

• 努力将复杂的合规主题分解为清晰、简明且易于理解的政策和程序。
• 通过强制性评估、测验和绩效评审将合规整合到日常工作流程中。在每个部门任命一位合规负责人。
• 培养领导意识对于建立合规文化至关重要，以便在长期重视其重要性。

 

 

解决方案：

 

 

• 为关键基础设施建立适当的基准，填补规定和监管框架中的空白。
• 基于现实场景和数据保护最佳实践开发安全意识培训，涵盖合规检查清单的范围。
• 通过实施自动化工具进行漏洞评估、配置管理和报表来简化合规要求，从而释放IT人员的压力。