本文转载自微信公众号《电脑世界》,作者BobViolino。转载本文请联系电脑世界公众号。从网络安全的角度来看,企业在高风险的世界中运营,评估和管理风险的能力可能从未如此重要。电信公司MitelNetworks的首席信息安全官ArvindRaman表示:“拥有风险管理框架至关重要,因为风险永远无法完全消除,只能得到有效管理。否则,企业可能会发现自己成为数据泄露或勒索软件攻击的目标,或者容易受到许多其他安全问题的影响。”ProtivitiConsulting网络安全和隐私执行总经理AndrewRetrum表示,选择框架时最关键的是考虑它是否“适合目的”以及是否与预期结果最一致。“选择一个已知的框架并在组织内得到理解也是有益的,”Retrum说。“它使框架的使用更加一致和高效,并允许整个组织的个人使用共同的语言。”组织可以利用风险评估框架来帮助指导安全和风险管理人员。下面我们来看看这些框架中最重要的一些,每个框架都旨在解决特定的风险领域。NIST风险管理框架美国国家标准研究院和技术(NIST)风险管理框架(RMF)提供了一个全面、可重复和可衡量的七步流程,组织可以使用该流程来管理信息安全和隐私风险。它还与一组支持实施的NIST标准和指南相关联风险管理程序以满足《联邦信息安全现代化法案》(FISMA)的要求。根据NIST,RMF提供了一个将安全、隐私和供应链风险管理活动集成到系统开发生命周期中的过程。它可以应用于新的、旧的或任何类型的系统或技术,包括物联网(IoT)和控制系统,以及任何类型的企业,无论规模大小或部门。RMF的七个步骤是:1.准备,包括准备企业管理安全和隐私风险的基本活动。2.分类,包括分类系统和使用影响分析处理、存储和传输的信息。3.选择,即根据风险评估,选择一套NISTSP800-53控件来保护系统。4.实施、部署并记录如何部署控制措施。5.评估以确定控制是否到位、是否按预期运行并实现预期结果。6.授权,高级管理层基于风险做出决策并授权系统运行。7.监控,包括对控制实施和系统风险的持续监控。“NISTRMF可以根据企业的需求进行定制,”Raman说。它经常被评估和更新,并且有许多工具支持它制定的标准。IT专业人员了解NISTRMF不应部署为自动化工具,而应部署为需要纪律以正确建模风险的记录框架,这一点至关重要。EscouteConsulting总裁兼信息系统审计与控制协会(ISACA)发言人MarkThomas表示,NIST已经制作了一些与风险相关的出版物,这些出版物易于理解并适用于大多数组织。“这些参考资料提供了一个整合安全、隐私和网络供应链风险管理活动的流程,以帮助控制选择和政策制定,”他说。被视为政府实体的指南。”OCTAVE可操作的关键威胁、资产和漏洞评估(OCTAVE)由卡内基梅隆大学计算机应急准备小组(CERT)开发,作为识别和管理信息安全风险的框架。它定义了一个全面的评估方法,使组织能够识别对其目标重要的信息资产、对这些资产的威胁以及可能使这些资产面临威胁的漏洞。通过将信息资产、威胁和漏洞结合在一起,组织可以了解哪些信息处于风险之中.有了这种理解,他们就可以设计和部署策略来降低信息资产的整体风险暴露。OCTAVE有两个版本可供选择。一个是OCTAVE-S,这是一种为具有扁平层次结构的小型企业设计的简化方法。另一个是OCTAVEAllegro,这是一个比较全面的la框架大型企业或结构复杂的企业。“OCTAVE是一个精心设计的风险评估框架,因为它从物理、技术和人力资源的角度审视安全性。它识别对任何企业都至关重要的资产,并发现威胁和漏洞,”Raman说。.但是,部署起来可能非常复杂,只能通过定性的方法来量化。”根据Thomas的说法,该方法的灵活性允许运营和IT团队协同工作,以满足企业的安全需求。作者:BobViolino,特约撰稿人原文网址:http://www.csoonline.com/article/2125140/it-risk-assessment-frameworks-real-world-experience.html
