为什么要讲风险管理?数字技术改变了我们的经济、社会和个人生活,促进了科学、物流、金融、通信和一系列其他基本活动的改进。因此,我们开始依赖数字技术,这导致人们对这些技术的可靠性寄予厚望。每个组织都必须就花费多少时间和金钱来保护其技术和服务做出艰难的决定;风险管理的主要目标之一是告知和改进这些决策。纵观历史,人们不得不应对危险,但直到最近,他们才能够以系统地预测和渴望管理风险的方式来应对。每个人的指南本文面向各种不同的受众,从非技术人员到交流网络风险评估的人员,再到根据网络风险评估做出决策的人员。这是因为为了发挥作用,网络风险管理需要让那些没有正式风险知识的人能够理解。风险管理技术目前提出了两种截然不同(但互补)的风险评估技术。组件驱动的风险管理侧重于技术组件及其面临的威胁和漏洞。系统驱动的风险管理采取相反的观点,将系统作为一个整体进行分析。需要明确的是,我们不提供有关如何应用现有技术的蓝图和分步说明。但我们将描述每种技术背后的一些核心概念,并提供路线图,以提供有关如何在实践中应用该技术的更详细指导。结束“打勾”风险管理正如我们将在“风险基础知识”部分讨论的那样,仅出于“合规”目的管理网络风险可能导致以“打勾”方式管理风险,从而产生意想不到的负面后果。这可以防止组织质疑他们是否勾选了正确的方框,从而导致对风险管理的程度过度自信。由于这些原因,本文不是规定性的;勾选风险管理框可能比根本没有风险管理更糟糕。本文中的任何技术都不适用于所有情况。在选择风险管理技术以应用于特定的网络安全问题时,仅通过注意本文中的存在来证明该选择是合理的。需要解释为什么选择的技术与问题相关。从哪儿开始?对于任何需要一些简单实用建议的人,风险和网络风险基础知识:掌握基础知识将是一个很好的起点。进行网络风险评估的专业人员(或监督技术项目的项目经理)可能希望从组件和系统驱动的风险管理之间的区别开始。负责组织网络风险管理战略方法的个人应首先考虑我们关于安全治理和风险信息多样性的指南。本文转载自微信公众号《齐吟说新安》,作者何伟峰。转载本文请联系齐银说新安公众号。
