首先再次祝大家国庆节快乐,假期收获满满!采用基于风险的方法来保护数据和系统。承担风险是开展业务的自然组成部分。风险管理为决策提供信息,以在威胁和机会之间取得适当的平衡,从而最好地实现组织的业务目标。网络安全领域的风险管理有助于确保组织中的技术、系统和信息以最适当的方式受到保护,并确保资源集中在对组织业务最重要的方面。良好的风险管理方法将渗透到整个组织,并补充其他业务风险的管理方式。有什么好处?良好的风险管理:知情和改进的决策制定有助于在整个组织内分配决策制定,同时保持适当的董事会级别监督对于风险管理,或正在尝试评估现有方法的有效性,本指南将帮助您了解在组织环境中什么是良好的风险管理方法。该怎么办?考虑想要管理网络风险的更广泛背景。想想这个组织做什么,它关心什么。业务优先级和目标是什么?这似乎是网络安全的一个奇怪起点,但它为网络风险管理奠定了基础。网络风险管理不是关于组织想要实现什么,而是应该支持组织目标。考虑愿意(或不愿意)使用技术来实现目标的风险将有助于组织决定采取哪些步骤来管理网络安全风险。考虑使用什么治理结构来管理其他类型的业务风险。网络风险的管理和沟通如何适应这些结构?有效的治理对于良好的网络安全风险管理很重要,因为它控制和指导组织为管理其面临的网络安全风险而采取的活动和行动。管理网络安全相关风险的方法应以适合组织的方式进行有效管理。确保组织有足够的董事会批准和拥有的政策,为整个组织制定风险管理战略,并酌情在其他组织政策中考虑网络安全。应确保董事会集体对网络安全有足够的认识,以便他们了解网络安全如何支持其整体组织目标。他们应该能够在需要时以他们理解的格式访问他们需要的信息,以便做出决策。了解需要在何处应用网络风险管理考虑组织为实现其组织目标和优先事项而使用和依赖的技术、系统、服务和信息的范围。应使用各种信息来源来帮助您确定此范围。例如,对于现有系统,可以使用资产登记册和系统图;对于正在开发的系统,可以开始高层设计。与使用、管理系统或服务或受其影响的人交谈也可以深入了解要保护的内容和原因。请记住包括那些可能不受您直接控制但仍然是您组织更广泛风险问题的一部分(例如供应链、第三方服务和云服务的使用)。不要忘记考虑人们如何与技术、系统和服务交互。如何支持他们以安全可用的方式执行此操作可以帮助管理组织的网络安全风险。系统涉及人员、流程和技术,网络风险管理方法应考虑这些不同的元素以及它们如何相互作用。为您的组织选择正确的网络安全风险管理方法考虑哪种网络安全风险管理方法或方法组合适合您的组织。有许多工具、方法、框架和标准可供选择——有些可能是通过标准或法规强制执行的,有些需要付费,有些可以免费使用。重要的是选择适合业务的方法,并揭示有关系统和服务的良好风险信息。了解详细的风险评估并不总是必要的。例如,诸如Cyber??Essentials之类的基线可用于提供有关保护组织免受最常见的基于Internet的攻击所需的基本控制的信息。但是,仅使用Cyber??Essentials等基线有其局限性,因为其推荐的控制措施仅涵盖Cyber??Essentials计划通常考虑的风险。它们并非旨在管理组织可能面临的所有与网络安全相关的风险。为了获得更有针对性的观点,组织需要进行自己的风险分析和评估以满足其特定需求。不同的方法提供了不同的风险视角。需要使用各种方法和方法的组合来尽可能最好地了解所面临的风险。了解所面临的风险以及如何管理这些风险使用选定的方法来识别、分析、评估风险并确定风险的优先级,并就如何管理这些风险做出决策。例如,是否计划通过应用一些技术或非技术控制来降低风险?是否会接受风险并继续进行而不采取任何进一步的措施来减轻风险?是否将风险转移给其他人(例如考虑网络安全保险)?还是意图通过改变组织成员的行为来消除风险发生的机会来规避风险?确保您正在考虑各种风险信息,并从专家或可信赖的来源寻求信息。还可以考虑加入行业和政府内部的知识共享合作伙伴关系(例如CiSP信息共享平台,该平台允许英国组织在安全和机密的环境中共享网络威胁信息)。请记住,如果您选择应用控制来管理风险,则应确保这些控制与风险成比例、可用并且不会对业务运营方式产生不利影响。就网络风险和网络风险管理进行有效沟通确保将风险管理方法有效地传达给员工和决策者,以便他们了解应如何管理网络安全风险并帮助他们做出相关决策。确保以适合您的组织谈论其他类型风险(例如法律或财务风险)的方式传达网络风险。确保使用有意义的语言并充分解释所使用的任何风险标签或分数。使用无意义或传达不佳的标签会导致误解和误会。例如,组织中的每个人对什么构成中度风险都有相同的解释吗?应用并寻求对所选控制的信心应用所选控制以降低系统和服务的风险。此集合中的以下步骤可以帮助组织应用适当的安全控制和缓解措施:体系结构和配置、漏洞管理、身份和访问管理、数据安全以及日志记录和监控。确保您了解在应用控制后仍然存在哪些风险。无论是应用一套针对组织风险量身定制的控制措施,还是基于Cyber??Essentials等基线,都不可能完全消除风险。组织内负责该风险的人员应了解剩余风险(简称残余风险)。确保现有的缓解包有效地管理已识别的风险,并考虑在将来使用该系统时如何保持这种信心。不断改进您的风险管理方法请记住,风险管理是一个迭代过程。技术在不断变化,商业环境及其相关的威胁和机遇也在不断变化。定期审查风险,以确保管理风险的决策方式仍然有效和适当。特别是,当发生重大变化时,应重新审视风险评估。这可能是当面临的威胁发生变化时,或者当用于交付和管理系统或服务的技术发生变化时,或者当系统的使用方式发生重大变化时。还需要审查用于风险管理的方法、框架和工具,以确保它们在业务环境中以及面对不断变化的网络安全和威胁形势时继续有效。参考来源:英国国家网络安全中心官网
