[[427164]]

首先再次祝大家國慶節(jié)快樂，假期收獲滿滿!

采取基于風險的方法來保護數(shù)據(jù)和系統(tǒng)。

承擔風險是做生意的自然組成部分。風險管理為決策提供信息，以便在威脅和機會之間取得適當?shù)钠胶猓宰詈玫貙崿F(xiàn)組織業(yè)務(wù)目標。網(wǎng)絡(luò)安全領(lǐng)域的風險管理有助于確保以最適當?shù)姆绞奖Ｗo組織中的技術(shù)、系統(tǒng)和信息，并將資源集中在對組織業(yè)務(wù)最重要的事情上。良好的風險管理方法將貫穿整個組織，并補充管理其他業(yè)務(wù)風險的方式。

有什么好處?

良好的風險管理：

告知并改進決策有助于在整個組織中下發(fā)決策，同時保持適當?shù)亩聲墑e的監(jiān)督

為適應和有效應對出現(xiàn)的新威脅和機遇奠定基礎(chǔ)

無論網(wǎng)絡(luò)風險管理的新手，還是正在嘗試評估現(xiàn)有方法的有效性，本指南都將幫助了解在組織環(huán)境中什么是良好的風險管理方法 。

該怎么辦?

考慮想要管理網(wǎng)絡(luò)風險的更廣泛的背景。

• 想想組織做什么，以及關(guān)心什么。業(yè)務(wù)優(yōu)先級和目標是什么?這似乎是網(wǎng)絡(luò)安全的一個奇怪起點，但它為網(wǎng)絡(luò)風險管理奠定了基礎(chǔ)。網(wǎng)絡(luò)風險管理與組織想要實現(xiàn)的目標無關(guān)，而是應該支持組織目標?？紤]愿意(或不愿意)通過技術(shù)來實現(xiàn)目標和目標的風險將幫助組織決定采取哪些步驟來管理網(wǎng)絡(luò)安全風險。
• 考慮采用何種治理結(jié)構(gòu)來管理其他類型的業(yè)務(wù)風險。網(wǎng)絡(luò)風險的管理和溝通如何適應這些結(jié)構(gòu)?有效的治理對于良好的網(wǎng)絡(luò)安全風險管理很重要，因為它控制和指導組織為管理其面臨的網(wǎng)絡(luò)安全風險而采取的活動和行動。管理網(wǎng)絡(luò)安全相關(guān)風險的方法應以適合組織的方式有效管理。
• 確保組織有足夠的由董事會批準和擁有的政策，為整個組織制定風險管理戰(zhàn)略，并在適當?shù)钠渌M織政策中考慮網(wǎng)絡(luò)安全。應該確保董事會集體對網(wǎng)絡(luò)安全有足夠的了解，以便他們了解網(wǎng)絡(luò)安全如何支持其整體組織目標。他們應該在他們需要的時候以他們理解的格式獲取他們需要的信息，以便做出決策。

了解需要在何處應用網(wǎng)絡(luò)風險管理

• 考慮組織為實現(xiàn)其組織目標和優(yōu)先事項而使用和依賴的技術(shù)、系統(tǒng)、服務(wù)和信息的范圍。應該使用各種信息來源來幫助您確定此范圍。例如，對于現(xiàn)有系統(tǒng)，可以使用資產(chǎn)登記冊和系統(tǒng)圖;對于開發(fā)中的系統(tǒng)，可以從高級設(shè)計開始。與系統(tǒng)或服務(wù)的使用、管理人員或受其影響的人員交談，還可以深入了解要保護的內(nèi)容及其原因。
• 請記住包括可能不受直接控制但仍屬于您組織更廣泛風險問題的一部分(例如供應鏈、第三方服務(wù)和云服務(wù)的使用)。
• 不要忘記考慮人們?nèi)绾闻c技術(shù)、系統(tǒng)和服務(wù)交互。如何支持他們以安全和可用的方式執(zhí)行此操作有助于管理組織的網(wǎng)絡(luò)安全風險。系統(tǒng)涉及人員、流程和技術(shù)，網(wǎng)絡(luò)風險管理方法應考慮到這些不同的元素以及它們?nèi)绾蜗嗷プ饔谩?/li>

選擇適合組織的網(wǎng)絡(luò)安全風險管理方法

• 考慮哪種網(wǎng)絡(luò)安全風險管理方法或方法組合適合組織。有許多工具、方法、框架和標準可供選擇——有些可能是通過標準或法規(guī)規(guī)定的，有些需要付費，有些則可以免費使用。選擇一種適合業(yè)務(wù)并且能夠揭示有關(guān)系統(tǒng)和服務(wù)的良好風險信息的方法非常重要。
• 了解并不總是需要進行詳細的風險評估。例如，可以使用Cyber Essentials等基線來提供有關(guān)保護組織免受最常見的基于 Internet 的攻擊所需的基本控制的信息。然而，單獨使用諸如 Cyber Essentials 之類的基線有其局限性，因為只有 Cyber Essentials 計劃通?？紤]的風險才會被其推薦的控制措施覆蓋。它們并非旨在管理組織可能面臨的所有網(wǎng)絡(luò)安全相關(guān)風險。為了獲得更量身定制的視角，組織需要對自身進行風險分析和評估，以滿足自身的特定需求。
• 不同的方法提供了不同的風險視角。將需要使用多種方法和方法的組合，以盡可能最好地了解所面臨的風險。

了解面臨的風險以及如何管理它們

• 使用選擇的方法來識別、分析、評估和確定風險的優(yōu)先級，并就將如何管理這些風險做出決策。例如，是否打算通過應用一些技術(shù)或非技術(shù)控制來降低風險?是否會接受風險并繼續(xù)進行而不采取任何進一步的行動來減輕它?是否打算將風險轉(zhuǎn)移給其他人(例如考慮網(wǎng)絡(luò)安全保險)?或者是否打算通過改變組織成員行為來消除風險發(fā)生的機會來避免風險?
• 確保正在考慮各種風險信息，并從專家或可信賴的信息來源中尋找信息。還可以考慮加入行業(yè)和政府內(nèi)部的知識共享合作伙伴關(guān)系(例如 CiSP 信息共享平臺，它允許英國組織在安全和機密的環(huán)境中共享網(wǎng)絡(luò)威脅信息)。
• 請記住，如果選擇應用控制來管理風險，應該確保這些控制與風險成比例、可用且不會對業(yè)務(wù)運作方式產(chǎn)生不利影響。

就網(wǎng)絡(luò)風險和網(wǎng)絡(luò)風險管理進行有效溝通

• 確保將風險管理方法有效地傳達給員工和決策者，以便他們了解應如何管理網(wǎng)絡(luò)安全風險并幫助他們做出相關(guān)決策。
• 確保以適合貴組織談?wù)撈渌愋惋L險(例如法律或財務(wù)風險)的方式傳達網(wǎng)絡(luò)風險。
• 確保使用有意義的語言并充分解釋使用的任何風險標簽或評分。使用無意義或溝通不暢的標簽會導致誤解和誤解。例如，在組織中，每個人對什么構(gòu)成中等風險的解釋是否相同?

應用并尋求對選擇的控件的信心

• 應用選擇的控制來降低系統(tǒng)和服務(wù)的風險。此集合中的以下步驟可以幫助組織應用適當?shù)陌踩刂坪途徑獯胧后w系結(jié)構(gòu)和配置、漏洞管理、身份和訪問管理、數(shù)據(jù)安全以及日志記錄和監(jiān)控。
• 確保了解應用控制后仍存在哪些風險。無論是應用一套針對組織風險定制的控制措施，還是基于 Cyber Essentials 等基線，都不可能完全消除風險。剩余風險(稱為剩余風險)應由組織內(nèi)負責風險的人員理解。
• 確保采取的緩解措施包有效地管理了確定的風險，并考慮在系統(tǒng)在未來使用時如何保持這種信心。

不斷改進風險管理方法

• 請記住，風險管理是一個迭代過程。技術(shù)在變化，商業(yè)環(huán)境及其相關(guān)的威脅和機遇也在變化。
• 定期審查風險，以確保決定管理風險的方式仍然有效和適當。特別是，當發(fā)生重大變化時，應該重新審視風險評估。這可能是當面臨的威脅發(fā)生變化時，或者當更改用于交付和管理系統(tǒng)或服務(wù)的技術(shù)時，或者當使用系統(tǒng)的方式發(fā)生重大變化時。
• 還需要審查用于風險管理的方法、框架和工具，以確保它們在業(yè)務(wù)環(huán)境中以及面對不斷發(fā)展的網(wǎng)絡(luò)安全和威脅形勢時繼續(xù)有效。

參考來源：英國國家網(wǎng)絡(luò)安全中心官網(wǎng)