帮助了解什么是好的风险管理方法,以及哪些网络安全风险管理方法适合您的组织。
本节列出了一系列可以构成任何网络安全风险管理流程基础的高级步骤。虽然此处显示的步骤反映了ISO/IEC 27005:2018中描述的流程,但在许多其他网络安全风险管理标准、指南、流程和方法中很可能会找到类似的流程或步骤。
这些步骤将帮助您了解良好的风险管理方法是什么样的,并帮助您确定哪些网络安全风险管理方法适合您的组织。
对于那些刚接触网络安全风险管理并且不知道如何开始进行风险评估等主题的人,我们还提供了基本的网络风险方法。
任何网络安全风险管理流程的第一步都是了解管理网络安全风险的业务环境。网络安全风险管理不应使组织的目标难以实现,而必须能够实现这些目标。建立组织和业务背景将帮助您发现和了解您的组织真正做什么、看重什么以及可能关心什么,甚至在您考虑识别和管理网络安全风险之前也是如此。
您不应该自己创建此视图。相反,您应该利用现有的组织知识。这可以是使命宣言、企业级风险信息的形式,或者您可以与业务中适当的利益相关者交谈。根据您的具体情况,这可能是在组织、计划或项目级别。白板、头脑风暴、PESTLE 和 SWOT 分析等技术可能在团体或个人中有用,可以帮助您建立这种背景。
注意事项:
此步骤是关于确定如何在组织内控制和指导网络安全风险管理。您应该从“组织范围”的角度进行思考,以避免孤立的思维。网络安全风险决策应与其他业务风险的管理保持一致。风险负责人或决策者不应单独担任网络职能部门,因为有关网络安全风险管理的决策属于业务决策。例如,如果您是一个较大的组织,则应该由整个董事会负责,而不是留给某个人。
为此,您需要清楚地了解您的决策者是谁、他们从事的业务级别以及他们在风险所有权、责任和问责方面的权力。也许您不直接向董事会报告,您的背景可能是一个计划或项目。因此,了解您特定情况下决策的授权和升级过程至关重要。理想情况下,所有网络安全风险管理活动都应由具有决策权的人批准,并与他们必须做出的决策相关联。因此,决策者必须能够接触到网络安全风险管理专家,并且这些专家能够根据需要有效地传达风险管理信息和问题。
您还需要了解决策者的限制(例如预算、资源和时间)以及其他组织因素,例如您遵循的采购和开发流程(例如瀑布式或敏捷式)。您的网络安全风险管理活动应与您组织的风险偏好相一致,并与更广泛的业务实践的节奏和节奏相匹配,以按时完成项目;如果你的输入晚了,它们将毫无意义。
注意事项:
首先从高层次仔细思考定义网络安全风险挑战的关键特征。我们使用“挑战”一词,但您可能会将其视为网络安全风险问题或您计划应用风险分析的问题。在使用特定的网络安全风险评估工具之前,重要的是要考虑挑战的范围和性质。了解这些关键特征将帮助您决定在步骤 4中采取的适当方法或方法组合。
注意事项:
网络风险管理工具箱中有许多途径、方法和工具可用于帮助评估和管理网络安全风险。没有一种方法适合所有情况,也没有一种工具可以解决所有问题。每个都有自己的优点和缺点,具体取决于您评估的内容。因此,您选择的方法应根据您已识别的风险挑战的关键特征进行定制。在您自己的功能工具箱中混合使用多种方法是值得的,以便您可以为您的特定风险挑战选择最合适的工具。
您的方法还可能受到业务限制的影响,例如可用的财务和资源,以及在内部和与其他风险领域或在外部与业务合作伙伴或监管机构保持一致性的需要。我们的网络风险管理工具箱中描述的一些技术是免费的并且相对易于使用,而其他技术可能需要订阅、广泛的培训和支持治理结构。
注意事项:
此步骤是关于使用网络风险管理工具箱方法、技术和工具来识别和评估网络安全风险,以便您可以优先考虑它们,并就如何实际管理它们做出决策。设法管理您发现的所有网络安全风险非常重要。对于那些刚接触网络风险管理并且不知道从哪里开始的人,还提供了基本的风险评估,但您应该注意,这种基本方法附带了一些严重的健康警告。
此步骤将涉及风险分析和优先级排序,以及就如何管理风险做出决策。您可以选择通过以下方式管理网络安全风险:
这意味着不继续或停止导致存在风险的活动。这有时被称为“终止”风险。
这意味着做出明智的决定,不采取任何措施(或进一步采取任何措施)来治疗、减轻、修改或降低已识别的风险(无论是作为原始的未经处理的风险,还是作为进行某些治疗后仍然存在的残留风险)。接受风险意味着,如果风险发生,您将不得不承受由此产生的影响和后果。之所以做出这些决定,是因为处理风险的成本可能超过可能实现的任何影响的成本,或者因为在组织为了追求其目标和优先事项而愿意承担风险的情况下,风险是可以容忍的。这有时被称为“容忍”或“保留”风险。
这意味着将风险的影响或后果转移给其他人(例如通过保险)。这有时可以称为“分担风险”。
这涉及技术和非技术控制的实施、管理和维护,旨在降低网络安全风险发生的可能性,或减少发生网络安全风险时的影响(目的是使网络安全风险在组织的风险偏好范围内可接受或可容忍)。这有时可以称为采取行动“修改”、“减轻”或“降低”风险。
如果您选择通过使用技术或非技术控制措施来处理已识别的风险,那么您和组织内承担网络安全风险的人员必须确信这些控制措施将按照您的预期发挥作用,并且它们将在您所使用的系统或服务的整个生命周期中继续发挥作用,这一点非常重要。这种信心被称为“安全保证”、“技术保证”或简称“保证”。
当您向决策者提出建议时,您需要描述和沟通如何获得保证(并维护您推荐的控制措施)。
不可能完全消除或治疗所有风险。当您使用控制措施处理网络安全风险时,总会留下一个或多个风险,这些风险被称为“残留风险”。这些残余风险本身也需要进行管理。
进行的风险分析的数量需要与您面临的风险挑战相称,如果您的方法没有为您提供帮助您识别和管理网络安全风险的信息,那么您应该停下来考虑一下您是否做得足够,或者是否需要尝试其他方法来获取更多信息。
您提出的网络安全风险管理建议应在正确的时间以正确的格式交付给适当的决策者。在所有情况下,您评估的风险和提出的建议都应该可以追溯到企业正在做什么和关心什么。您的建议应该是可行的并且符合决策者的限制,但他们也应该清楚他们将继续承担哪些风险,换句话说,如果他们接受您的建议,将会留下哪些剩余风险。您所做的这些以及其他分析和决定应适当记录以保持可追溯性。这些文件可能包括:
您应该能够证明并捍卫您的建议。您提出的任何主张或您提供的信息都应该有充分的论据和证据支持。您应该了解,控制措施只有在解决已识别的风险时才有用。如果您的技术不允许您做到这一点,那么您应该考虑采取替代方法。
注意事项:
下一步是将您的发现和建议传达给企业内适当的决策者或决策者群体。您的沟通必须有意义,并且在详细程度和使用的格式方面适合受众。例如,如果您需要或选择使用标准标签,例如高、中和低,请确保您已向应用这些标签的人和将根据这些标签做出决策的人清楚地表达了它们的含义。需要有效的双向沟通(面对面和书面)来建立所有利益相关方的信誉并做出有效的决策。使用不适合受众或上下文的过于技术性和网络安全术语可能会导致沟通不畅和混乱。
注意事项:
此步骤是关于实施您提出的建议(并且您的决策者已同意),以及获得并保持对您应用的控制和措施有效并按预期有效并继续有效的信心。
这里的目的是确保网络安全从一开始就已包含在您正在处理的系统或服务中,并且在设计上是安全的。作为风险从业者,您可能不直接对此活动负责。因此,确保负责实施的人员了解他们正在解决的风险以及您为管理这些风险而提出的建议非常重要。这涉及这些控制的“整个生命周期”管理以及剩余风险的管理。通常很容易仓促或忽视这一步,但您应该像在框架中的早期步骤中投入一样多的时间和精力来进行这些活动。
我们今天用于商业和个人用途的系统本质上是社会技术的,这意味着它们涉及人员、技术和业务流程。这些系统的交付和维护还可能涉及复杂的供应链。网络安全风险可能会影响所有这些因素,因此您需要确保在所有这些方面都根据需要适当且有效地实施了网络安全控制。
网络安全控制和措施应分层应用于系统。这种方法有时被称为“深度防御”,即单个控制或措施的失败或妥协不会导致攻击者立即完全访问我们关心的内容。为此,他们需要克服或妥协不止一种控制或措施。
在某些情况下,例如在使用云服务时,实施网络安全控制的责任可能与第三方服务提供商共同承担。您应该注意,虽然实施控制的责任可能与第三方共同承担,但风险(及其管理方式)的责任和义务仍然由您和您的组织承担。
无论您是安全控制和措施、将安全应用到您的供应链,还是与第三方供应商定义共享安全模型,您和组织内的风险负责人都应该寻求信心(或保证),您正在使用的控制和措施将按照您的预期发挥作用(并且只要您需要它们,它们就会继续这样做)。
例如:
NCSC 网站包含有关产品和服务的详细信息,由 NCSC 保证保护您的组织并向您的客户保证您认真对待网络安全。
良好的网络安全风险管理是一项持续的活动,因此您不能永远依赖实施决策。您需要不断考虑您现有的网络安全控制和保障安排在您面临的网络安全威胁和风险的背景下是否仍然具有相关性。
注意事项:
网络安全风险管理是一个持续的过程,您的方法需要定期审查和调整,以应对不断变化的威胁和风险形势。重要的是,不仅要监控和审查您所实施的控制措施的有效性和性能,还要监控和审查您的风险评估和网络安全风险管理方法本身。网络安全的设计应在系统或服务所支持的业务的整个生命周期内实施,而不仅仅是在交付系统或服务的项目/项目群的生命周期内实施。
注意事项: