幫助了解什么是好的風(fēng)險管理方法，以及哪些網(wǎng)絡(luò)安全風(fēng)險管理方法適合組織。

管理網(wǎng)絡(luò)安全風(fēng)險的框架

本節(jié)列出了一系列可以構(gòu)成任何網(wǎng)絡(luò)安全風(fēng)險管理流程基礎(chǔ)的高級步驟。雖然此處顯示的步驟反映了ISO/IEC 27005:2018中描述的流程，但在許多其他網(wǎng)絡(luò)安全風(fēng)險管理標(biāo)準(zhǔn)、指南、流程和方法中很可能會找到類似的流程或步驟。

這些步驟將幫助您了解良好的風(fēng)險管理方法是什么樣的，并幫助您確定哪些網(wǎng)絡(luò)安全風(fēng)險管理方法適合組織。

對于那些剛接觸網(wǎng)絡(luò)安全風(fēng)險管理并且不知道如何開始進(jìn)行風(fēng)險評估等主題的人，我們還提供了基本的網(wǎng)絡(luò)風(fēng)險方法。

第 1 步 - 建立組織環(huán)境

任何網(wǎng)絡(luò)安全風(fēng)險管理流程的第一步都是了解管理網(wǎng)絡(luò)安全風(fēng)險的業(yè)務(wù)環(huán)境。網(wǎng)絡(luò)安全風(fēng)險管理不應(yīng)使組織的目標(biāo)難以實現(xiàn)，而必須能夠?qū)崿F(xiàn)這些目標(biāo)。建立組織和業(yè)務(wù)背景將幫助您發(fā)現(xiàn)和了解您的組織真正做什么、看重什么以及可能關(guān)心什么，甚至在您考慮識別和管理網(wǎng)絡(luò)安全風(fēng)險之前也是如此。

您不應(yīng)該自己創(chuàng)建此視圖。相反，您應(yīng)該利用現(xiàn)有的組織知識。這可以是使命宣言、企業(yè)級風(fēng)險信息的形式，或者您可以與業(yè)務(wù)中適當(dāng)?shù)睦嫦嚓P(guān)者交談。根據(jù)您的具體情況，這可能是在組織、計劃或項目級別。白板、頭腦風(fēng)暴、PESTLE 和 SWOT 分析等技術(shù)可能在團(tuán)體或個人中有用，可以幫助您建立這種背景。

注意事項：

• 您組織的使命、宗旨、目標(biāo)和優(yōu)先事項是什么？
• 您的企業(yè)關(guān)心什么、必須保護(hù)什么以及不能容忍什么結(jié)果？
• 您的業(yè)務(wù)的關(guān)鍵領(lǐng)域是什么？
• 您的決策者希望您的風(fēng)險管理工作解決哪些關(guān)鍵問題？
• 您是否需要滿足任何外部因素，例如法律、法規(guī)、監(jiān)管、合規(guī)性或合同要求？

第 2 步 - 確定決策者、治理流程和限制因素

此步驟是關(guān)于確定如何在組織內(nèi)控制和指導(dǎo)網(wǎng)絡(luò)安全風(fēng)險管理。您應(yīng)該從“組織范圍”的角度進(jìn)行思考，以避免孤立的思維。網(wǎng)絡(luò)安全風(fēng)險決策應(yīng)與其他業(yè)務(wù)風(fēng)險的管理保持一致。風(fēng)險負(fù)責(zé)人或決策者不應(yīng)單獨擔(dān)任網(wǎng)絡(luò)職能部門，因為有關(guān)網(wǎng)絡(luò)安全風(fēng)險管理的決策屬于業(yè)務(wù)決策。例如，如果您是一個較大的組織，則應(yīng)該由整個董事會負(fù)責(zé)，而不是留給某個人。

為此，您需要清楚地了解您的決策者是誰、他們從事的業(yè)務(wù)級別以及他們在風(fēng)險所有權(quán)、責(zé)任和問責(zé)方面的權(quán)力。也許您不直接向董事會報告，您的背景可能是一個計劃或項目。因此，了解您特定情況下決策的授權(quán)和升級過程至關(guān)重要。理想情況下，所有網(wǎng)絡(luò)安全風(fēng)險管理活動都應(yīng)由具有決策權(quán)的人批準(zhǔn)，并與他們必須做出的決策相關(guān)聯(lián)。因此，決策者必須能夠接觸到網(wǎng)絡(luò)安全風(fēng)險管理專家，并且這些專家能夠根據(jù)需要有效地傳達(dá)風(fēng)險管理信息和問題。

您還需要了解決策者的限制（例如預(yù)算、資源和時間）以及其他組織因素，例如您遵循的采購和開發(fā)流程（例如瀑布式或敏捷式）。您的網(wǎng)絡(luò)安全風(fēng)險管理活動應(yīng)與您組織的風(fēng)險偏好相一致，并與更廣泛的業(yè)務(wù)實踐的節(jié)奏和節(jié)奏相匹配，以按時完成項目；如果你的輸入晚了，它們將毫無意義。

注意事項：

• 您的組織內(nèi)是否存在現(xiàn)有的風(fēng)險管理治理和決策流程和結(jié)構(gòu)？它是如何運作的？
• 您的組織是否有承擔(dān)網(wǎng)絡(luò)安全風(fēng)險的明確意愿？
• 誰負(fù)責(zé)制定網(wǎng)絡(luò)安全風(fēng)險管理決策，他們的需求和限制是什么，以及如何在大型或復(fù)雜的組織中下放該職責(zé)？
• 如果您不知道該怎么做，您將如何升級網(wǎng)絡(luò)安全風(fēng)險管理決策？
• 您打算如何將網(wǎng)絡(luò)安全風(fēng)險整合到組織更廣泛的目標(biāo)和風(fēng)險中？
• 誰是您的風(fēng)險、系統(tǒng)、服務(wù)和資產(chǎn)所有者，以及已有哪些網(wǎng)絡(luò)安全風(fēng)險管理角色？
• 如何管理您可能無法完全控制的情況，例如在第三方、云服務(wù)或供應(yīng)鏈環(huán)境中？誰負(fù)責(zé)這方面的決策并承擔(dān)責(zé)任，網(wǎng)絡(luò)安全風(fēng)險管理責(zé)任如何分擔(dān)？
• 安全預(yù)算是多少？

第 3 步 - 定義網(wǎng)絡(luò)安全風(fēng)險挑戰(zhàn)

首先從高層次仔細(xì)思考定義網(wǎng)絡(luò)安全風(fēng)險挑戰(zhàn)的關(guān)鍵特征。我們使用“挑戰(zhàn)”一詞，但您可能會將其視為網(wǎng)絡(luò)安全風(fēng)險問題或您計劃應(yīng)用風(fēng)險分析的問題。在使用特定的網(wǎng)絡(luò)安全風(fēng)險評估工具之前，重要的是要考慮挑戰(zhàn)的范圍和性質(zhì)。了解這些關(guān)鍵特征將幫助您決定在步驟 4中采取的適當(dāng)方法或方法組合。

注意事項：

• 挑戰(zhàn)有多復(fù)雜？這是一個標(biāo)準(zhǔn)的、定義明確且易于理解的挑戰(zhàn)嗎？您能否應(yīng)用已知的解決方案來有效應(yīng)對您的挑戰(zhàn)？如果是這樣的話，是否還需要進(jìn)行進(jìn)一步的評估或分析？它是否新穎或復(fù)雜，可能需要不同的方法？
• 挑戰(zhàn)是在設(shè)計上，還是在操作上？如果是設(shè)計方面的，您的開發(fā)實踐和節(jié)奏是什么（例如瀑布式或敏捷式）？
• 網(wǎng)絡(luò)安全風(fēng)險是否會對其他風(fēng)險領(lǐng)域產(chǎn)生重大影響？例如，對于網(wǎng)絡(luò)物理系統(tǒng)，是否需要將網(wǎng)絡(luò)安全風(fēng)險評估與安全風(fēng)險評估結(jié)合起來？
• 是否有一些因素可能超出您的直接控制范圍，但仍然是您風(fēng)險狀況的一部分，例如您的供應(yīng)鏈、第三方或云服務(wù)的使用？您在多大程度上可以依賴他們的潛在風(fēng)險評估？您需要做什么來履行您的職責(zé)？
• 您是否處于高度威脅的環(huán)境中？是否存在與您的組織相關(guān)并會影響您對威脅環(huán)境的理解的情況？例如，您是政府供應(yīng)商嗎？您即將推出新產(chǎn)品，或者您最近在媒體上的曝光度更高嗎？在考慮您的威脅環(huán)境時，這些因素可能是相關(guān)的。
• 會不會出現(xiàn)頻率低但影響大的事件？哪些時間范圍與您的網(wǎng)絡(luò)安全風(fēng)險管理相關(guān)？在短期內(nèi)，您可能對自己的風(fēng)險有更大的確定性，但從長遠(yuǎn)來看，您可能需要應(yīng)對與您的系統(tǒng)和更廣泛的環(huán)境相關(guān)的更大程度的不確定性。
• 您是否受到所使用的某些技術(shù)的限制，例如運營技術(shù) (OT)、ICS/SCADA 或舊產(chǎn)品？

第 4 步 - 選擇方法

網(wǎng)絡(luò)風(fēng)險管理工具箱中有許多途徑、方法和工具可用于幫助評估和管理網(wǎng)絡(luò)安全風(fēng)險。沒有一種方法適合所有情況，也沒有一種工具可以解決所有問題。每個都有自己的優(yōu)點和缺點，具體取決于您評估的內(nèi)容。因此，您選擇的方法應(yīng)根據(jù)您已識別的風(fēng)險挑戰(zhàn)的關(guān)鍵特征進(jìn)行定制。在您自己的功能工具箱中混合使用多種方法是值得的，以便您可以為您的特定風(fēng)險挑戰(zhàn)選擇最合適的工具。

您的方法還可能受到業(yè)務(wù)限制的影響，例如可用的財務(wù)和資源，以及在內(nèi)部和與其他風(fēng)險領(lǐng)域或在外部與業(yè)務(wù)合作伙伴或監(jiān)管機(jī)構(gòu)保持一致性的需要。我們的網(wǎng)絡(luò)風(fēng)險管理工具箱中描述的一些技術(shù)是免費的并且相對易于使用，而其他技術(shù)可能需要訂閱、廣泛的培訓(xùn)和支持治理結(jié)構(gòu)。

注意事項：

• 您在第 3 步中確定的關(guān)鍵特征是否會引導(dǎo)您使用特定的工具或技術(shù)？
• 您當(dāng)前的方法或基線是否滿足您的風(fēng)險挑戰(zhàn)的需求？
• 選擇工具時需要考慮哪些限制？
• 您選擇的方法是否可以幫助您了解需要保護(hù)的內(nèi)容以及如何保護(hù)？如果沒有，您還需要什么其他方法？
• 您是否具備使用特定工具、方法、技巧或途徑的正確技能？或者您需要引入專業(yè)資源來幫助您？
• 您選擇的方法（在語言、流程和輸出方面）與您組織中用于風(fēng)險管理的其他方法的契合程度如何？

第 5 步 - 了解風(fēng)險以及如何管理風(fēng)險

此步驟是關(guān)于使用網(wǎng)絡(luò)風(fēng)險管理工具箱方法、技術(shù)和工具來識別和評估網(wǎng)絡(luò)安全風(fēng)險，以便您可以優(yōu)先考慮它們，并就如何實際管理它們做出決策。設(shè)法管理您發(fā)現(xiàn)的所有網(wǎng)絡(luò)安全風(fēng)險非常重要。對于那些剛接觸網(wǎng)絡(luò)風(fēng)險管理并且不知道從哪里開始的人，還提供了基本的風(fēng)險評估，但您應(yīng)該注意，這種基本方法附帶了一些嚴(yán)重的健康警告。

此步驟將涉及風(fēng)險分析和優(yōu)先級排序，以及就如何管理風(fēng)險做出決策。您可以選擇通過以下方式管理網(wǎng)絡(luò)安全風(fēng)險：

避免它

這意味著不繼續(xù)或停止導(dǎo)致存在風(fēng)險的活動。這有時被稱為“終止”風(fēng)險。

接受它

這意味著做出明智的決定，不采取任何措施（或進(jìn)一步采取任何措施）來治療、減輕、修改或降低已識別的風(fēng)險（無論是作為原始的未經(jīng)處理的風(fēng)險，還是作為進(jìn)行某些治療后仍然存在的殘留風(fēng)險）。接受風(fēng)險意味著，如果風(fēng)險發(fā)生，您將不得不承受由此產(chǎn)生的影響和后果。之所以做出這些決定，是因為處理風(fēng)險的成本可能超過可能實現(xiàn)的任何影響的成本，或者因為在組織為了追求其目標(biāo)和優(yōu)先事項而愿意承擔(dān)風(fēng)險的情況下，風(fēng)險是可以容忍的。這有時被稱為“容忍”或“保留”風(fēng)險。

轉(zhuǎn)移它

這意味著將風(fēng)險的影響或后果轉(zhuǎn)移給其他人（例如通過保險）。這有時可以稱為“分擔(dān)風(fēng)險”。

治療它

這涉及技術(shù)和非技術(shù)控制的實施、管理和維護(hù)，旨在降低網(wǎng)絡(luò)安全風(fēng)險發(fā)生的可能性，或減少發(fā)生網(wǎng)絡(luò)安全風(fēng)險時的影響（目的是使網(wǎng)絡(luò)安全風(fēng)險在組織的風(fēng)險偏好范圍內(nèi)可接受或可容忍）。這有時可以稱為采取行動“修改”、“減輕”或“降低”風(fēng)險。

如果您選擇通過使用技術(shù)或非技術(shù)控制措施來處理已識別的風(fēng)險，那么您和組織內(nèi)承擔(dān)網(wǎng)絡(luò)安全風(fēng)險的人員必須確信這些控制措施將按照您的預(yù)期發(fā)揮作用，并且它們將在您所使用的系統(tǒng)或服務(wù)的整個生命周期中繼續(xù)發(fā)揮作用，這一點非常重要。這種信心被稱為“安全保證”、“技術(shù)保證”或簡稱“保證”。

當(dāng)您向決策者提出建議時，您需要描述和溝通如何獲得保證（并維護(hù)您推薦的控制措施）。

不可能完全消除或治療所有風(fēng)險。當(dāng)您使用控制措施處理網(wǎng)絡(luò)安全風(fēng)險時，總會留下一個或多個風(fēng)險，這些風(fēng)險被稱為“殘留風(fēng)險”。這些殘余風(fēng)險本身也需要進(jìn)行管理。

進(jìn)行的風(fēng)險分析的數(shù)量需要與您面臨的風(fēng)險挑戰(zhàn)相稱，如果您的方法沒有為您提供幫助您識別和管理網(wǎng)絡(luò)安全風(fēng)險的信息，那么您應(yīng)該停下來考慮一下您是否做得足夠，或者是否需要嘗試其他方法來獲取更多信息。

您提出的網(wǎng)絡(luò)安全風(fēng)險管理建議應(yīng)在正確的時間以正確的格式交付給適當(dāng)?shù)臎Q策者。在所有情況下，您評估的風(fēng)險和提出的建議都應(yīng)該可以追溯到企業(yè)正在做什么和關(guān)心什么。您的建議應(yīng)該是可行的并且符合決策者的限制，但他們也應(yīng)該清楚他們將繼續(xù)承擔(dān)哪些風(fēng)險，換句話說，如果他們接受您的建議，將會留下哪些剩余風(fēng)險。您所做的這些以及其他分析和決定應(yīng)適當(dāng)記錄以保持可追溯性。這些文件可能包括：

• 風(fēng)險登記冊：向決策者和其他利益相關(guān)者傳達(dá)已識別的風(fēng)險并確定其優(yōu)先順序
• 網(wǎng)絡(luò)安全風(fēng)險管理計劃：該計劃規(guī)定了如何管理網(wǎng)絡(luò)安全風(fēng)險，并描述了為處理已識別風(fēng)險而將實施的控制措施
• 保證計劃：它規(guī)定了如何在系統(tǒng)或服務(wù)的整個生命周期中獲得和維護(hù)用于處理已識別風(fēng)險的控制保證
• 剩余風(fēng)險聲明：這為決策者確定了處理已識別風(fēng)險后遺留的風(fēng)險，以便他們能夠就如何管理這些風(fēng)險做出明智的決定

您應(yīng)該能夠證明并捍衛(wèi)您的建議。您提出的任何主張或您提供的信息都應(yīng)該有充分的論據(jù)和證據(jù)支持。您應(yīng)該了解，控制措施只有在解決已識別的風(fēng)險時才有用。如果您的技術(shù)不允許您做到這一點，那么您應(yīng)該考慮采取替代方法。

注意事項：

• 最有效地利用不同來源的數(shù)據(jù)和信息。
• 定量信息和方法可能有助于開展成本效益分析，為有關(guān)潛在控制措施的決策提供信息。
• 意識到“高”、“中”或“低”等陳述和標(biāo)簽的效用有限，而不將它們設(shè)置在有意義的技術(shù)和/或業(yè)務(wù)背景中。你對high的理解可能和你的觀眾不一樣。
• 請注意無意識偏見的潛在影響，這可能會扭曲您分析所依據(jù)的某些輸入。

第 6 步 - 溝通和咨詢

下一步是將您的發(fā)現(xiàn)和建議傳達(dá)給企業(yè)內(nèi)適當(dāng)?shù)臎Q策者或決策者群體。您的溝通必須有意義，并且在詳細(xì)程度和使用的格式方面適合受眾。例如，如果您需要或選擇使用標(biāo)準(zhǔn)標(biāo)簽，例如高、中和低，請確保您已向應(yīng)用這些標(biāo)簽的人和將根據(jù)這些標(biāo)簽做出決策的人清楚地表達(dá)了它們的含義。需要有效的雙向溝通（面對面和書面）來建立所有利益相關(guān)方的信譽(yù)并做出有效的決策。使用不適合受眾或上下文的過于技術(shù)性和網(wǎng)絡(luò)安全術(shù)語可能會導(dǎo)致溝通不暢和混亂。

注意事項：

• 咨詢網(wǎng)絡(luò)安全風(fēng)險管理決策者和其他治理利益相關(guān)者，以便更好地了解他們對風(fēng)險管理信息的需求，從而幫助他們做出明智、及時的決策。
• 簡潔并為受眾提供量身定制的建議：將大量復(fù)雜的風(fēng)險信息提煉成有意義的更新。
• 您應(yīng)該能夠?qū)⒛R別的每個風(fēng)險追溯到一些高層組織風(fēng)險或損失。確保您的語言和演示對決策者來說具有影響力且易于理解，并解決了他們真正關(guān)心的問題。使用非技術(shù)和非安全語言來實現(xiàn)這一點非常有幫助。
• 考慮如何按優(yōu)先級呈現(xiàn)風(fēng)險，將注意力集中在最關(guān)鍵的風(fēng)險和建議上，但確保捕獲和考慮所有風(fēng)險。
• 您使用的語言和風(fēng)險聲明應(yīng)與整個企業(yè)的現(xiàn)有實踐一致。如果其他人都使用標(biāo)簽來描述風(fēng)險及其組成部分，那么您也應(yīng)該這樣做，但請記住根據(jù)上下文仔細(xì)描述您使用的任何標(biāo)簽，以確保每個人都理解它們的含義。

第 7 步 - 實施并確保

此步驟是關(guān)于實施您提出的建議（并且您的決策者已同意），以及獲得并保持對您應(yīng)用的控制和措施有效并按預(yù)期有效并繼續(xù)有效的信心。

這里的目的是確保網(wǎng)絡(luò)安全從一開始就已包含在您正在處理的系統(tǒng)或服務(wù)中，并且在設(shè)計上是安全的。作為風(fēng)險從業(yè)者，您可能不直接對此活動負(fù)責(zé)。因此，確保負(fù)責(zé)實施的人員了解他們正在解決的風(fēng)險以及您為管理這些風(fēng)險而提出的建議非常重要。這涉及這些控制的“整個生命周期”管理以及剩余風(fēng)險的管理。通常很容易倉促或忽視這一步，但您應(yīng)該像在框架中的早期步驟中投入一樣多的時間和精力來進(jìn)行這些活動。

我們今天用于商業(yè)和個人用途的系統(tǒng)本質(zhì)上是社會技術(shù)的，這意味著它們涉及人員、技術(shù)和業(yè)務(wù)流程。這些系統(tǒng)的交付和維護(hù)還可能涉及復(fù)雜的供應(yīng)鏈。網(wǎng)絡(luò)安全風(fēng)險可能會影響所有這些因素，因此您需要確保在所有這些方面都根據(jù)需要適當(dāng)且有效地實施了網(wǎng)絡(luò)安全控制。

網(wǎng)絡(luò)安全控制和措施應(yīng)分層應(yīng)用于系統(tǒng)。這種方法有時被稱為“深度防御”，即單個控制或措施的失敗或妥協(xié)不會導(dǎo)致攻擊者立即完全訪問我們關(guān)心的內(nèi)容。為此，他們需要克服或妥協(xié)不止一種控制或措施。

在某些情況下，例如在使用云服務(wù)時，實施網(wǎng)絡(luò)安全控制的責(zé)任可能與第三方服務(wù)提供商共同承擔(dān)。您應(yīng)該注意，雖然實施控制的責(zé)任可能與第三方共同承擔(dān)，但風(fēng)險（及其管理方式）的責(zé)任和義務(wù)仍然由您和您的組織承擔(dān)。

無論您是安全控制和措施、將安全應(yīng)用到您的供應(yīng)鏈，還是與第三方供應(yīng)商定義共享安全模型，您和組織內(nèi)的風(fēng)險負(fù)責(zé)人都應(yīng)該尋求信心（或保證），您正在使用的控制和措施將按照您的預(yù)期發(fā)揮作用（并且只要您需要它們，它們就會繼續(xù)這樣做）。

例如：

• 您可以要求使用、管理和維護(hù)您的系統(tǒng)和服務(wù)的人員接受安全完成工作所需的培訓(xùn)和技能，從而向他們尋求保證
• 您可以通過以下方式尋求對所使用的技術(shù)和流程的保證：例如，確保它們在設(shè)計和構(gòu)建時考慮到安全性、根據(jù)標(biāo)準(zhǔn)獨立評估它們、在部署之前和運行過程中對其進(jìn)行安全測試，以及監(jiān)控和審核它們的使用方式

NCSC 網(wǎng)站包含有關(guān)產(chǎn)品和服務(wù)的詳細(xì)信息，由 NCSC 保證保護(hù)您的組織并向您的客戶保證您認(rèn)真對待網(wǎng)絡(luò)安全。

良好的網(wǎng)絡(luò)安全風(fēng)險管理是一項持續(xù)的活動，因此您不能永遠(yuǎn)依賴實施決策。您需要不斷考慮您現(xiàn)有的網(wǎng)絡(luò)安全控制和保障安排在您面臨的網(wǎng)絡(luò)安全威脅和風(fēng)險的背景下是否仍然具有相關(guān)性。

注意事項：

• 考慮潛在控制措施的財務(wù)和資源影響以及它們是否符合 PACE 原則（務(wù)實、適當(dāng)和成本效益）。它們還應(yīng)該符合您的風(fēng)險偏好、業(yè)務(wù)目標(biāo)和規(guī)定的風(fēng)險。
• 適當(dāng)使用風(fēng)險管理選項的組合（即并非所有風(fēng)險都需要通過控制來管理，而是可以避免、轉(zhuǎn)移或接受它們）。
• 尋求實現(xiàn)縱深防御并使用一系列控制措施來解決人員、業(yè)務(wù)流程、物理和技術(shù)問題；避免只關(guān)注技術(shù)，而要把人放在思考的核心位置。
• 考慮如何充分利用現(xiàn)有的現(xiàn)有控制措施，并充分利用產(chǎn)品、系統(tǒng)和服務(wù)內(nèi)置的安全功能（但默認(rèn)情況下可能未啟用，或者可以輕松調(diào)整它們以解決已識別的相關(guān)風(fēng)險）。
• 確保您首先管理最高優(yōu)先級的風(fēng)險。
• 采用共同基準(zhǔn)將幫助您防御最常見的威脅。您可以參考通用的控制集或框架，但不要盲目遵循這些控制，僅選擇與您的威脅模型和風(fēng)險相關(guān)的控制。您可能還需要通過實施定制或有針對性的控制措施來調(diào)整或增強(qiáng)共同基準(zhǔn)，以管理您的設(shè)置或環(huán)境所特有的網(wǎng)絡(luò)安全風(fēng)險。
• 考慮將保障模型構(gòu)建到設(shè)計、操作和維護(hù)技術(shù)系統(tǒng)和服務(wù)的流程中，以提供對網(wǎng)絡(luò)安全風(fēng)險管理方式的信心。
• 檢查您做出的有關(guān)接受或容忍網(wǎng)絡(luò)安全風(fēng)險的任何決策是否仍然安全，并且所有這些風(fēng)險接受決策是否可以在組織或企業(yè)風(fēng)險級別上被看到和理解，以便為更高級別的風(fēng)險管理觀點和決策提供信息。
• 定期審查您使用的網(wǎng)絡(luò)安全控制措施，以確保它們保持有效并與您面臨的風(fēng)險相關(guān)。

第 8 步 - 監(jiān)控和審查

網(wǎng)絡(luò)安全風(fēng)險管理是一個持續(xù)的過程，您的方法需要定期審查和調(diào)整，以應(yīng)對不斷變化的威脅和風(fēng)險形勢。重要的是，不僅要監(jiān)控和審查您所實施的控制措施的有效性和性能，還要監(jiān)控和審查您的風(fēng)險評估和網(wǎng)絡(luò)安全風(fēng)險管理方法本身。網(wǎng)絡(luò)安全的設(shè)計應(yīng)在系統(tǒng)或服務(wù)所支持的業(yè)務(wù)的整個生命周期內(nèi)實施，而不僅僅是在交付系統(tǒng)或服務(wù)的項目/項目群的生命周期內(nèi)實施。

注意事項：

• 定期審查您的網(wǎng)絡(luò)安全風(fēng)險管理整體方法，為您的組織提供持續(xù)的保證，確保其有效運營以滿足業(yè)務(wù)需求，并確定可能需要改進(jìn)的領(lǐng)域或可能需要在現(xiàn)有網(wǎng)絡(luò)安全風(fēng)險管理工具箱中添加額外和/或替代方法或技術(shù)的領(lǐng)域。
• 不要害怕回滾或撤銷以前的風(fēng)險處理決策：這是因為您在首次實施系統(tǒng)或服務(wù)時做出的處理決策今天可能不合適。
• 監(jiān)控您的系統(tǒng)將使您能夠觀察其行為是否超出您定義的參數(shù)，例如遵守網(wǎng)絡(luò)安全策略，并幫助您了解哪些地方可能需要額外的干預(yù)、措施或控制。通過這種方式，您可以將監(jiān)控本身用作控制，例如使用保護(hù)監(jiān)控和事務(wù)監(jiān)控。
• 不斷確認(rèn)現(xiàn)有的控制措施在管理網(wǎng)絡(luò)安全風(fēng)險方面是適當(dāng)且相稱的。
• 制定指標(biāo)和績效指標(biāo)來衡量控制的有效性
• 當(dāng)事情發(fā)生重大變化時，重新審視您的風(fēng)險評估和分析。這可能是當(dāng)您面臨的威脅發(fā)生變化時，或者當(dāng)您更改用于交付和管理系統(tǒng)或服務(wù)的技術(shù)時，或者當(dāng)您使用系統(tǒng)的方式發(fā)生重大變化時。
• 使用各種機(jī)制來監(jiān)控和審查您的系統(tǒng)和服務(wù)，例如定期審查、滲透測試、安全審核、IT 運行狀況檢查和安全監(jiān)控解決方案或自己的日志記錄。這些機(jī)制將幫助您識別網(wǎng)絡(luò)安全事件，并提供有關(guān)您用于管理網(wǎng)絡(luò)安全風(fēng)險的措施和控制措施效果如何或其他方面的信息。