[[427164]]

首先再次祝大家國慶節(jié)快樂，假期收獲滿滿!

采取基于風(fēng)險(xiǎn)的方法來保護(hù)數(shù)據(jù)和系統(tǒng)。

承擔(dān)風(fēng)險(xiǎn)是做生意的自然組成部分。風(fēng)險(xiǎn)管理為決策提供信息，以便在威脅和機(jī)會(huì)之間取得適當(dāng)?shù)钠胶?，以最好地?shí)現(xiàn)組織業(yè)務(wù)目標(biāo)。網(wǎng)絡(luò)安全領(lǐng)域的風(fēng)險(xiǎn)管理有助于確保以最適當(dāng)?shù)姆绞奖Ｗo(hù)組織中的技術(shù)、系統(tǒng)和信息，并將資源集中在對(duì)組織業(yè)務(wù)最重要的事情上。良好的風(fēng)險(xiǎn)管理方法將貫穿整個(gè)組織，并補(bǔ)充管理其他業(yè)務(wù)風(fēng)險(xiǎn)的方式。

有什么好處?

良好的風(fēng)險(xiǎn)管理：

告知并改進(jìn)決策有助于在整個(gè)組織中下發(fā)決策，同時(shí)保持適當(dāng)?shù)亩聲?huì)級(jí)別的監(jiān)督

為適應(yīng)和有效應(yīng)對(duì)出現(xiàn)的新威脅和機(jī)遇奠定基礎(chǔ)

無論網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的新手，還是正在嘗試評(píng)估現(xiàn)有方法的有效性，本指南都將幫助了解在組織環(huán)境中什么是良好的風(fēng)險(xiǎn)管理方法 。

該怎么辦?

考慮想要管理網(wǎng)絡(luò)風(fēng)險(xiǎn)的更廣泛的背景。

• 想想組織做什么，以及關(guān)心什么。業(yè)務(wù)優(yōu)先級(jí)和目標(biāo)是什么?這似乎是網(wǎng)絡(luò)安全的一個(gè)奇怪起點(diǎn)，但它為網(wǎng)絡(luò)風(fēng)險(xiǎn)管理奠定了基礎(chǔ)。網(wǎng)絡(luò)風(fēng)險(xiǎn)管理與組織想要實(shí)現(xiàn)的目標(biāo)無關(guān)，而是應(yīng)該支持組織目標(biāo)。考慮愿意(或不愿意)通過技術(shù)來實(shí)現(xiàn)目標(biāo)和目標(biāo)的風(fēng)險(xiǎn)將幫助組織決定采取哪些步驟來管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
• 考慮采用何種治理結(jié)構(gòu)來管理其他類型的業(yè)務(wù)風(fēng)險(xiǎn)。網(wǎng)絡(luò)風(fēng)險(xiǎn)的管理和溝通如何適應(yīng)這些結(jié)構(gòu)?有效的治理對(duì)于良好的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理很重要，因?yàn)樗刂坪椭笇?dǎo)組織為管理其面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)而采取的活動(dòng)和行動(dòng)。管理網(wǎng)絡(luò)安全相關(guān)風(fēng)險(xiǎn)的方法應(yīng)以適合組織的方式有效管理。
• 確保組織有足夠的由董事會(huì)批準(zhǔn)和擁有的政策，為整個(gè)組織制定風(fēng)險(xiǎn)管理戰(zhàn)略，并在適當(dāng)?shù)钠渌M織政策中考慮網(wǎng)絡(luò)安全。應(yīng)該確保董事會(huì)集體對(duì)網(wǎng)絡(luò)安全有足夠的了解，以便他們了解網(wǎng)絡(luò)安全如何支持其整體組織目標(biāo)。他們應(yīng)該在他們需要的時(shí)候以他們理解的格式獲取他們需要的信息，以便做出決策。

了解需要在何處應(yīng)用網(wǎng)絡(luò)風(fēng)險(xiǎn)管理

• 考慮組織為實(shí)現(xiàn)其組織目標(biāo)和優(yōu)先事項(xiàng)而使用和依賴的技術(shù)、系統(tǒng)、服務(wù)和信息的范圍。應(yīng)該使用各種信息來源來幫助您確定此范圍。例如，對(duì)于現(xiàn)有系統(tǒng)，可以使用資產(chǎn)登記冊(cè)和系統(tǒng)圖;對(duì)于開發(fā)中的系統(tǒng)，可以從高級(jí)設(shè)計(jì)開始。與系統(tǒng)或服務(wù)的使用、管理人員或受其影響的人員交談，還可以深入了解要保護(hù)的內(nèi)容及其原因。
• 請(qǐng)記住包括可能不受直接控制但仍屬于您組織更廣泛風(fēng)險(xiǎn)問題的一部分(例如供應(yīng)鏈、第三方服務(wù)和云服務(wù)的使用)。
• 不要忘記考慮人們?nèi)绾闻c技術(shù)、系統(tǒng)和服務(wù)交互。如何支持他們以安全和可用的方式執(zhí)行此操作有助于管理組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。系統(tǒng)涉及人員、流程和技術(shù)，網(wǎng)絡(luò)風(fēng)險(xiǎn)管理方法應(yīng)考慮到這些不同的元素以及它們?nèi)绾蜗嗷プ饔谩?/li>

選擇適合組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理方法

• 考慮哪種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理方法或方法組合適合組織。有許多工具、方法、框架和標(biāo)準(zhǔn)可供選擇——有些可能是通過標(biāo)準(zhǔn)或法規(guī)規(guī)定的，有些需要付費(fèi)，有些則可以免費(fèi)使用。選擇一種適合業(yè)務(wù)并且能夠揭示有關(guān)系統(tǒng)和服務(wù)的良好風(fēng)險(xiǎn)信息的方法非常重要。
• 了解并不總是需要進(jìn)行詳細(xì)的風(fēng)險(xiǎn)評(píng)估。例如，可以使用Cyber Essentials等基線來提供有關(guān)保護(hù)組織免受最常見的基于 Internet 的攻擊所需的基本控制的信息。然而，單獨(dú)使用諸如 Cyber Essentials 之類的基線有其局限性，因?yàn)橹挥?Cyber Essentials 計(jì)劃通常考慮的風(fēng)險(xiǎn)才會(huì)被其推薦的控制措施覆蓋。它們并非旨在管理組織可能面臨的所有網(wǎng)絡(luò)安全相關(guān)風(fēng)險(xiǎn)。為了獲得更量身定制的視角，組織需要對(duì)自身進(jìn)行風(fēng)險(xiǎn)分析和評(píng)估，以滿足自身的特定需求。
• 不同的方法提供了不同的風(fēng)險(xiǎn)視角。將需要使用多種方法和方法的組合，以盡可能最好地了解所面臨的風(fēng)險(xiǎn)。

了解面臨的風(fēng)險(xiǎn)以及如何管理它們

• 使用選擇的方法來識(shí)別、分析、評(píng)估和確定風(fēng)險(xiǎn)的優(yōu)先級(jí)，并就將如何管理這些風(fēng)險(xiǎn)做出決策。例如，是否打算通過應(yīng)用一些技術(shù)或非技術(shù)控制來降低風(fēng)險(xiǎn)?是否會(huì)接受風(fēng)險(xiǎn)并繼續(xù)進(jìn)行而不采取任何進(jìn)一步的行動(dòng)來減輕它?是否打算將風(fēng)險(xiǎn)轉(zhuǎn)移給其他人(例如考慮網(wǎng)絡(luò)安全保險(xiǎn))?或者是否打算通過改變組織成員行為來消除風(fēng)險(xiǎn)發(fā)生的機(jī)會(huì)來避免風(fēng)險(xiǎn)?
• 確保正在考慮各種風(fēng)險(xiǎn)信息，并從專家或可信賴的信息來源中尋找信息。還可以考慮加入行業(yè)和政府內(nèi)部的知識(shí)共享合作伙伴關(guān)系(例如 CiSP 信息共享平臺(tái)，它允許英國組織在安全和機(jī)密的環(huán)境中共享網(wǎng)絡(luò)威脅信息)。
• 請(qǐng)記住，如果選擇應(yīng)用控制來管理風(fēng)險(xiǎn)，應(yīng)該確保這些控制與風(fēng)險(xiǎn)成比例、可用且不會(huì)對(duì)業(yè)務(wù)運(yùn)作方式產(chǎn)生不利影響。

就網(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)風(fēng)險(xiǎn)管理進(jìn)行有效溝通

• 確保將風(fēng)險(xiǎn)管理方法有效地傳達(dá)給員工和決策者，以便他們了解應(yīng)如何管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)并幫助他們做出相關(guān)決策。
• 確保以適合貴組織談?wù)撈渌愋惋L(fēng)險(xiǎn)(例如法律或財(cái)務(wù)風(fēng)險(xiǎn))的方式傳達(dá)網(wǎng)絡(luò)風(fēng)險(xiǎn)。
• 確保使用有意義的語言并充分解釋使用的任何風(fēng)險(xiǎn)標(biāo)簽或評(píng)分。使用無意義或溝通不暢的標(biāo)簽會(huì)導(dǎo)致誤解和誤解。例如，在組織中，每個(gè)人對(duì)什么構(gòu)成中等風(fēng)險(xiǎn)的解釋是否相同?

應(yīng)用并尋求對(duì)選擇的控件的信心

• 應(yīng)用選擇的控制來降低系統(tǒng)和服務(wù)的風(fēng)險(xiǎn)。此集合中的以下步驟可以幫助組織應(yīng)用適當(dāng)?shù)陌踩刂坪途徑獯胧后w系結(jié)構(gòu)和配置、漏洞管理、身份和訪問管理、數(shù)據(jù)安全以及日志記錄和監(jiān)控。
• 確保了解應(yīng)用控制后仍存在哪些風(fēng)險(xiǎn)。無論是應(yīng)用一套針對(duì)組織風(fēng)險(xiǎn)定制的控制措施，還是基于 Cyber Essentials 等基線，都不可能完全消除風(fēng)險(xiǎn)。剩余風(fēng)險(xiǎn)(稱為剩余風(fēng)險(xiǎn))應(yīng)由組織內(nèi)負(fù)責(zé)風(fēng)險(xiǎn)的人員理解。
• 確保采取的緩解措施包有效地管理了確定的風(fēng)險(xiǎn)，并考慮在系統(tǒng)在未來使用時(shí)如何保持這種信心。

不斷改進(jìn)風(fēng)險(xiǎn)管理方法

• 請(qǐng)記住，風(fēng)險(xiǎn)管理是一個(gè)迭代過程。技術(shù)在變化，商業(yè)環(huán)境及其相關(guān)的威脅和機(jī)遇也在變化。
• 定期審查風(fēng)險(xiǎn)，以確保決定管理風(fēng)險(xiǎn)的方式仍然有效和適當(dāng)。特別是，當(dāng)發(fā)生重大變化時(shí)，應(yīng)該重新審視風(fēng)險(xiǎn)評(píng)估。這可能是當(dāng)面臨的威脅發(fā)生變化時(shí)，或者當(dāng)更改用于交付和管理系統(tǒng)或服務(wù)的技術(shù)時(shí)，或者當(dāng)使用系統(tǒng)的方式發(fā)生重大變化時(shí)。
• 還需要審查用于風(fēng)險(xiǎn)管理的方法、框架和工具，以確保它們?cè)跇I(yè)務(wù)環(huán)境中以及面對(duì)不斷發(fā)展的網(wǎng)絡(luò)安全和威脅形勢(shì)時(shí)繼續(xù)有效。

參考來源：英國國家網(wǎng)絡(luò)安全中心官網(wǎng)