問：我們公司第一次制定正式的安全風險管理計劃，您能提供一些安全風險管理計劃示例嗎，或者就安全風險管理計劃應包括哪些內容給我們提供一些建議嗎？

答：在制定企業(yè)安全風險管理計劃時，有許多資料可供參考。第一份應該參考的文檔是NIST（美國國家標準與技術研究所）特別出版物800-53 V3——《美國聯(lián)邦信息系統(tǒng)和組織安全控制建議（Recommended Security Controls for Federal Information Systems and Organizations）》。該標準的第三章給出了一個規(guī)范的流程圖（如圖1所示），可以為你們制定安全風險管理計劃和框架的關鍵流程提供有益的指導。

圖1

從本質上講，制定安全風險管理計劃的出發(fā)點是將“組織投入”和“體系結構描述”作為基本信息，幫助企業(yè)進行資產識別和分類。

例如，組織投入可能包括組織不應受到妨礙的核心業(yè)務、企業(yè)的主要客戶以及企業(yè)必須遵守的主要適用法律等。

體系結構描述包括企業(yè)使命/業(yè)務流程、系統(tǒng)體系結構以及需要保護的信息系統(tǒng)的邊界。

另一份值得參考的文檔是NIST特別出版物SP 800-39——《信息系統(tǒng)風險管理草案（DRAFT Managing Risk from Information Systems）》，該文檔提供了在信息系統(tǒng)和基礎設施中實行安全控制的組織的風險管理常規(guī)視圖。該文檔還提供了一個風險管理的高層次視圖，如圖2所示。

圖2

對制定風險管理計劃可能有所幫助的第三份文檔是《信息安全（Information Security）》雜志2009年6月發(fā)表的一篇開創(chuàng)性的文章——《如何制定融合業(yè)務和安全需求的風險管理方案（How to write a risk methodology that blends business, security needs）》，其作者是我的同事Cris Ewell。Cris在這篇文章中指出，制定風險管理計劃和流程時應注意以下要點：

“風險管理流程必須植根于安全性原則并與安全計劃整合，安全計劃包括業(yè)務需求、合理注意事項、當前攻擊向量以及符合法規(guī)要求和合同要求。遵守標準和法規(guī)的要求有助于表明合理注意，但不應成為安全計劃的推動力。風險管理不可能解決所有的威脅和脆弱性。在一個組織中，信息安全實踐的發(fā)展方向、評估指標和改進方法的推動力應該是降低剩余風險，而不是實行指令性控制。”

在這篇文章中，Cris還從戰(zhàn)略、戰(zhàn)術和業(yè)務三個方面介紹了如何構建風險管理框架，共涉及下列13個安全要素：

◆戰(zhàn)略類

1.組織和授權

◆戰(zhàn)術類

1.策略

2.審計與合規(guī)性

3.風險管理

4.隱私

5.突發(fā)事件管理

6.教育和培訓

◆業(yè)務類

2.業(yè)務管理

3.技術安全和訪問控制

4.監(jiān)視、測量和報告

5.物理和環(huán)境安全

6.資產識別和分類

7.帳戶管理和外包　　

你可能還想從互聯(lián)網上查找其他的風險管理計劃資料。不過，需要指出的是，前面提到的NIST文檔和Cris的論文都是優(yōu)秀的資源，而且可以免費獲得。

【編輯推薦】

1. 天珣內網安全風險管理與審計系統(tǒng)
2. 完全解密企業(yè)信息安全風險評估