幫助了解什么是好的風(fēng)險(xiǎn)管理方法，以及哪些網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理方法適合組織。

管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的框架

本節(jié)列出了一系列可以構(gòu)成任何網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理流程基礎(chǔ)的高級(jí)步驟。雖然此處顯示的步驟反映了ISO/IEC 27005:2018中描述的流程，但在許多其他網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)、指南、流程和方法中很可能會(huì)找到類似的流程或步驟。

這些步驟將幫助您了解良好的風(fēng)險(xiǎn)管理方法是什么樣的，并幫助您確定哪些網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理方法適合組織。

對(duì)于那些剛接觸網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理并且不知道如何開始進(jìn)行風(fēng)險(xiǎn)評(píng)估等主題的人，我們還提供了基本的網(wǎng)絡(luò)風(fēng)險(xiǎn)方法。

第 1 步 - 建立組織環(huán)境

任何網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理流程的第一步都是了解管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的業(yè)務(wù)環(huán)境。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理不應(yīng)使組織的目標(biāo)難以實(shí)現(xiàn)，而必須能夠?qū)崿F(xiàn)這些目標(biāo)。建立組織和業(yè)務(wù)背景將幫助您發(fā)現(xiàn)和了解您的組織真正做什么、看重什么以及可能關(guān)心什么，甚至在您考慮識(shí)別和管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)之前也是如此。

您不應(yīng)該自己創(chuàng)建此視圖。相反，您應(yīng)該利用現(xiàn)有的組織知識(shí)。這可以是使命宣言、企業(yè)級(jí)風(fēng)險(xiǎn)信息的形式，或者您可以與業(yè)務(wù)中適當(dāng)?shù)睦嫦嚓P(guān)者交談。根據(jù)您的具體情況，這可能是在組織、計(jì)劃或項(xiàng)目級(jí)別。白板、頭腦風(fēng)暴、PESTLE 和 SWOT 分析等技術(shù)可能在團(tuán)體或個(gè)人中有用，可以幫助您建立這種背景。

注意事項(xiàng)：

• 您組織的使命、宗旨、目標(biāo)和優(yōu)先事項(xiàng)是什么？
• 您的企業(yè)關(guān)心什么、必須保護(hù)什么以及不能容忍什么結(jié)果？
• 您的業(yè)務(wù)的關(guān)鍵領(lǐng)域是什么？
• 您的決策者希望您的風(fēng)險(xiǎn)管理工作解決哪些關(guān)鍵問題？
• 您是否需要滿足任何外部因素，例如法律、法規(guī)、監(jiān)管、合規(guī)性或合同要求？

第 2 步 - 確定決策者、治理流程和限制因素

此步驟是關(guān)于確定如何在組織內(nèi)控制和指導(dǎo)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理。您應(yīng)該從“組織范圍”的角度進(jìn)行思考，以避免孤立的思維。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)決策應(yīng)與其他業(yè)務(wù)風(fēng)險(xiǎn)的管理保持一致。風(fēng)險(xiǎn)負(fù)責(zé)人或決策者不應(yīng)單獨(dú)擔(dān)任網(wǎng)絡(luò)職能部門，因?yàn)橛嘘P(guān)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的決策屬于業(yè)務(wù)決策。例如，如果您是一個(gè)較大的組織，則應(yīng)該由整個(gè)董事會(huì)負(fù)責(zé)，而不是留給某個(gè)人。

為此，您需要清楚地了解您的決策者是誰、他們從事的業(yè)務(wù)級(jí)別以及他們?cè)陲L(fēng)險(xiǎn)所有權(quán)、責(zé)任和問責(zé)方面的權(quán)力。也許您不直接向董事會(huì)報(bào)告，您的背景可能是一個(gè)計(jì)劃或項(xiàng)目。因此，了解您特定情況下決策的授權(quán)和升級(jí)過程至關(guān)重要。理想情況下，所有網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理活動(dòng)都應(yīng)由具有決策權(quán)的人批準(zhǔn)，并與他們必須做出的決策相關(guān)聯(lián)。因此，決策者必須能夠接觸到網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理專家，并且這些專家能夠根據(jù)需要有效地傳達(dá)風(fēng)險(xiǎn)管理信息和問題。

您還需要了解決策者的限制（例如預(yù)算、資源和時(shí)間）以及其他組織因素，例如您遵循的采購和開發(fā)流程（例如瀑布式或敏捷式）。您的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理活動(dòng)應(yīng)與您組織的風(fēng)險(xiǎn)偏好相一致，并與更廣泛的業(yè)務(wù)實(shí)踐的節(jié)奏和節(jié)奏相匹配，以按時(shí)完成項(xiàng)目；如果你的輸入晚了，它們將毫無意義。

注意事項(xiàng)：

• 您的組織內(nèi)是否存在現(xiàn)有的風(fēng)險(xiǎn)管理治理和決策流程和結(jié)構(gòu)？它是如何運(yùn)作的？
• 您的組織是否有承擔(dān)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的明確意愿？
• 誰負(fù)責(zé)制定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理決策，他們的需求和限制是什么，以及如何在大型或復(fù)雜的組織中下放該職責(zé)？
• 如果您不知道該怎么做，您將如何升級(jí)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理決策？
• 您打算如何將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)整合到組織更廣泛的目標(biāo)和風(fēng)險(xiǎn)中？
• 誰是您的風(fēng)險(xiǎn)、系統(tǒng)、服務(wù)和資產(chǎn)所有者，以及已有哪些網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理角色？
• 如何管理您可能無法完全控制的情況，例如在第三方、云服務(wù)或供應(yīng)鏈環(huán)境中？誰負(fù)責(zé)這方面的決策并承擔(dān)責(zé)任，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理責(zé)任如何分擔(dān)？
• 安全預(yù)算是多少？

第 3 步 - 定義網(wǎng)絡(luò)安全風(fēng)險(xiǎn)挑戰(zhàn)

首先從高層次仔細(xì)思考定義網(wǎng)絡(luò)安全風(fēng)險(xiǎn)挑戰(zhàn)的關(guān)鍵特征。我們使用“挑戰(zhàn)”一詞，但您可能會(huì)將其視為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問題或您計(jì)劃應(yīng)用風(fēng)險(xiǎn)分析的問題。在使用特定的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估工具之前，重要的是要考慮挑戰(zhàn)的范圍和性質(zhì)。了解這些關(guān)鍵特征將幫助您決定在步驟 4中采取的適當(dāng)方法或方法組合。

注意事項(xiàng)：

• 挑戰(zhàn)有多復(fù)雜？這是一個(gè)標(biāo)準(zhǔn)的、定義明確且易于理解的挑戰(zhàn)嗎？您能否應(yīng)用已知的解決方案來有效應(yīng)對(duì)您的挑戰(zhàn)？如果是這樣的話，是否還需要進(jìn)行進(jìn)一步的評(píng)估或分析？它是否新穎或復(fù)雜，可能需要不同的方法？
• 挑戰(zhàn)是在設(shè)計(jì)上，還是在操作上？如果是設(shè)計(jì)方面的，您的開發(fā)實(shí)踐和節(jié)奏是什么（例如瀑布式或敏捷式）？
• 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是否會(huì)對(duì)其他風(fēng)險(xiǎn)領(lǐng)域產(chǎn)生重大影響？例如，對(duì)于網(wǎng)絡(luò)物理系統(tǒng)，是否需要將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估與安全風(fēng)險(xiǎn)評(píng)估結(jié)合起來？
• 是否有一些因素可能超出您的直接控制范圍，但仍然是您風(fēng)險(xiǎn)狀況的一部分，例如您的供應(yīng)鏈、第三方或云服務(wù)的使用？您在多大程度上可以依賴他們的潛在風(fēng)險(xiǎn)評(píng)估？您需要做什么來履行您的職責(zé)？
• 您是否處于高度威脅的環(huán)境中？是否存在與您的組織相關(guān)并會(huì)影響您對(duì)威脅環(huán)境的理解的情況？例如，您是政府供應(yīng)商嗎？您即將推出新產(chǎn)品，或者您最近在媒體上的曝光度更高嗎？在考慮您的威脅環(huán)境時(shí)，這些因素可能是相關(guān)的。
• 會(huì)不會(huì)出現(xiàn)頻率低但影響大的事件？哪些時(shí)間范圍與您的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理相關(guān)？在短期內(nèi)，您可能對(duì)自己的風(fēng)險(xiǎn)有更大的確定性，但從長遠(yuǎn)來看，您可能需要應(yīng)對(duì)與您的系統(tǒng)和更廣泛的環(huán)境相關(guān)的更大程度的不確定性。
• 您是否受到所使用的某些技術(shù)的限制，例如運(yùn)營技術(shù) (OT)、ICS/SCADA 或舊產(chǎn)品？

第 4 步 - 選擇方法

網(wǎng)絡(luò)風(fēng)險(xiǎn)管理工具箱中有許多途徑、方法和工具可用于幫助評(píng)估和管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。沒有一種方法適合所有情況，也沒有一種工具可以解決所有問題。每個(gè)都有自己的優(yōu)點(diǎn)和缺點(diǎn)，具體取決于您評(píng)估的內(nèi)容。因此，您選擇的方法應(yīng)根據(jù)您已識(shí)別的風(fēng)險(xiǎn)挑戰(zhàn)的關(guān)鍵特征進(jìn)行定制。在您自己的功能工具箱中混合使用多種方法是值得的，以便您可以為您的特定風(fēng)險(xiǎn)挑戰(zhàn)選擇最合適的工具。

您的方法還可能受到業(yè)務(wù)限制的影響，例如可用的財(cái)務(wù)和資源，以及在內(nèi)部和與其他風(fēng)險(xiǎn)領(lǐng)域或在外部與業(yè)務(wù)合作伙伴或監(jiān)管機(jī)構(gòu)保持一致性的需要。我們的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理工具箱中描述的一些技術(shù)是免費(fèi)的并且相對(duì)易于使用，而其他技術(shù)可能需要訂閱、廣泛的培訓(xùn)和支持治理結(jié)構(gòu)。

注意事項(xiàng)：

• 您在第 3 步中確定的關(guān)鍵特征是否會(huì)引導(dǎo)您使用特定的工具或技術(shù)？
• 您當(dāng)前的方法或基線是否滿足您的風(fēng)險(xiǎn)挑戰(zhàn)的需求？
• 選擇工具時(shí)需要考慮哪些限制？
• 您選擇的方法是否可以幫助您了解需要保護(hù)的內(nèi)容以及如何保護(hù)？如果沒有，您還需要什么其他方法？
• 您是否具備使用特定工具、方法、技巧或途徑的正確技能？或者您需要引入專業(yè)資源來幫助您？
• 您選擇的方法（在語言、流程和輸出方面）與您組織中用于風(fēng)險(xiǎn)管理的其他方法的契合程度如何？

第 5 步 - 了解風(fēng)險(xiǎn)以及如何管理風(fēng)險(xiǎn)

此步驟是關(guān)于使用網(wǎng)絡(luò)風(fēng)險(xiǎn)管理工具箱方法、技術(shù)和工具來識(shí)別和評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，以便您可以優(yōu)先考慮它們，并就如何實(shí)際管理它們做出決策。設(shè)法管理您發(fā)現(xiàn)的所有網(wǎng)絡(luò)安全風(fēng)險(xiǎn)非常重要。對(duì)于那些剛接觸網(wǎng)絡(luò)風(fēng)險(xiǎn)管理并且不知道從哪里開始的人，還提供了基本的風(fēng)險(xiǎn)評(píng)估，但您應(yīng)該注意，這種基本方法附帶了一些嚴(yán)重的健康警告。

此步驟將涉及風(fēng)險(xiǎn)分析和優(yōu)先級(jí)排序，以及就如何管理風(fēng)險(xiǎn)做出決策。您可以選擇通過以下方式管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)：

避免它

這意味著不繼續(xù)或停止導(dǎo)致存在風(fēng)險(xiǎn)的活動(dòng)。這有時(shí)被稱為“終止”風(fēng)險(xiǎn)。

接受它

這意味著做出明智的決定，不采取任何措施（或進(jìn)一步采取任何措施）來治療、減輕、修改或降低已識(shí)別的風(fēng)險(xiǎn)（無論是作為原始的未經(jīng)處理的風(fēng)險(xiǎn)，還是作為進(jìn)行某些治療后仍然存在的殘留風(fēng)險(xiǎn)）。接受風(fēng)險(xiǎn)意味著，如果風(fēng)險(xiǎn)發(fā)生，您將不得不承受由此產(chǎn)生的影響和后果。之所以做出這些決定，是因?yàn)樘幚盹L(fēng)險(xiǎn)的成本可能超過可能實(shí)現(xiàn)的任何影響的成本，或者因?yàn)樵诮M織為了追求其目標(biāo)和優(yōu)先事項(xiàng)而愿意承擔(dān)風(fēng)險(xiǎn)的情況下，風(fēng)險(xiǎn)是可以容忍的。這有時(shí)被稱為“容忍”或“保留”風(fēng)險(xiǎn)。

轉(zhuǎn)移它

這意味著將風(fēng)險(xiǎn)的影響或后果轉(zhuǎn)移給其他人（例如通過保險(xiǎn)）。這有時(shí)可以稱為“分擔(dān)風(fēng)險(xiǎn)”。

治療它

這涉及技術(shù)和非技術(shù)控制的實(shí)施、管理和維護(hù)，旨在降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)發(fā)生的可能性，或減少發(fā)生網(wǎng)絡(luò)安全風(fēng)險(xiǎn)時(shí)的影響（目的是使網(wǎng)絡(luò)安全風(fēng)險(xiǎn)在組織的風(fēng)險(xiǎn)偏好范圍內(nèi)可接受或可容忍）。這有時(shí)可以稱為采取行動(dòng)“修改”、“減輕”或“降低”風(fēng)險(xiǎn)。

如果您選擇通過使用技術(shù)或非技術(shù)控制措施來處理已識(shí)別的風(fēng)險(xiǎn)，那么您和組織內(nèi)承擔(dān)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的人員必須確信這些控制措施將按照您的預(yù)期發(fā)揮作用，并且它們將在您所使用的系統(tǒng)或服務(wù)的整個(gè)生命周期中繼續(xù)發(fā)揮作用，這一點(diǎn)非常重要。這種信心被稱為“安全保證”、“技術(shù)保證”或簡(jiǎn)稱“保證”。

當(dāng)您向決策者提出建議時(shí)，您需要描述和溝通如何獲得保證（并維護(hù)您推薦的控制措施）。

不可能完全消除或治療所有風(fēng)險(xiǎn)。當(dāng)您使用控制措施處理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)時(shí)，總會(huì)留下一個(gè)或多個(gè)風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)被稱為“殘留風(fēng)險(xiǎn)”。這些殘余風(fēng)險(xiǎn)本身也需要進(jìn)行管理。

進(jìn)行的風(fēng)險(xiǎn)分析的數(shù)量需要與您面臨的風(fēng)險(xiǎn)挑戰(zhàn)相稱，如果您的方法沒有為您提供幫助您識(shí)別和管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的信息，那么您應(yīng)該停下來考慮一下您是否做得足夠，或者是否需要嘗試其他方法來獲取更多信息。

您提出的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理建議應(yīng)在正確的時(shí)間以正確的格式交付給適當(dāng)?shù)臎Q策者。在所有情況下，您評(píng)估的風(fēng)險(xiǎn)和提出的建議都應(yīng)該可以追溯到企業(yè)正在做什么和關(guān)心什么。您的建議應(yīng)該是可行的并且符合決策者的限制，但他們也應(yīng)該清楚他們將繼續(xù)承擔(dān)哪些風(fēng)險(xiǎn)，換句話說，如果他們接受您的建議，將會(huì)留下哪些剩余風(fēng)險(xiǎn)。您所做的這些以及其他分析和決定應(yīng)適當(dāng)記錄以保持可追溯性。這些文件可能包括：

• 風(fēng)險(xiǎn)登記冊(cè)：向決策者和其他利益相關(guān)者傳達(dá)已識(shí)別的風(fēng)險(xiǎn)并確定其優(yōu)先順序
• 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理計(jì)劃：該計(jì)劃規(guī)定了如何管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并描述了為處理已識(shí)別風(fēng)險(xiǎn)而將實(shí)施的控制措施
• 保證計(jì)劃：它規(guī)定了如何在系統(tǒng)或服務(wù)的整個(gè)生命周期中獲得和維護(hù)用于處理已識(shí)別風(fēng)險(xiǎn)的控制保證
• 剩余風(fēng)險(xiǎn)聲明：這為決策者確定了處理已識(shí)別風(fēng)險(xiǎn)后遺留的風(fēng)險(xiǎn)，以便他們能夠就如何管理這些風(fēng)險(xiǎn)做出明智的決定

您應(yīng)該能夠證明并捍衛(wèi)您的建議。您提出的任何主張或您提供的信息都應(yīng)該有充分的論據(jù)和證據(jù)支持。您應(yīng)該了解，控制措施只有在解決已識(shí)別的風(fēng)險(xiǎn)時(shí)才有用。如果您的技術(shù)不允許您做到這一點(diǎn)，那么您應(yīng)該考慮采取替代方法。

注意事項(xiàng)：

• 最有效地利用不同來源的數(shù)據(jù)和信息。
• 定量信息和方法可能有助于開展成本效益分析，為有關(guān)潛在控制措施的決策提供信息。
• 意識(shí)到“高”、“中”或“低”等陳述和標(biāo)簽的效用有限，而不將它們?cè)O(shè)置在有意義的技術(shù)和/或業(yè)務(wù)背景中。你對(duì)high的理解可能和你的觀眾不一樣。
• 請(qǐng)注意無意識(shí)偏見的潛在影響，這可能會(huì)扭曲您分析所依據(jù)的某些輸入。

第 6 步 - 溝通和咨詢

下一步是將您的發(fā)現(xiàn)和建議傳達(dá)給企業(yè)內(nèi)適當(dāng)?shù)臎Q策者或決策者群體。您的溝通必須有意義，并且在詳細(xì)程度和使用的格式方面適合受眾。例如，如果您需要或選擇使用標(biāo)準(zhǔn)標(biāo)簽，例如高、中和低，請(qǐng)確保您已向應(yīng)用這些標(biāo)簽的人和將根據(jù)這些標(biāo)簽做出決策的人清楚地表達(dá)了它們的含義。需要有效的雙向溝通（面對(duì)面和書面）來建立所有利益相關(guān)方的信譽(yù)并做出有效的決策。使用不適合受眾或上下文的過于技術(shù)性和網(wǎng)絡(luò)安全術(shù)語可能會(huì)導(dǎo)致溝通不暢和混亂。

注意事項(xiàng)：

• 咨詢網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理決策者和其他治理利益相關(guān)者，以便更好地了解他們對(duì)風(fēng)險(xiǎn)管理信息的需求，從而幫助他們做出明智、及時(shí)的決策。
• 簡(jiǎn)潔并為受眾提供量身定制的建議：將大量復(fù)雜的風(fēng)險(xiǎn)信息提煉成有意義的更新。
• 您應(yīng)該能夠?qū)⒛R(shí)別的每個(gè)風(fēng)險(xiǎn)追溯到一些高層組織風(fēng)險(xiǎn)或損失。確保您的語言和演示對(duì)決策者來說具有影響力且易于理解，并解決了他們真正關(guān)心的問題。使用非技術(shù)和非安全語言來實(shí)現(xiàn)這一點(diǎn)非常有幫助。
• 考慮如何按優(yōu)先級(jí)呈現(xiàn)風(fēng)險(xiǎn)，將注意力集中在最關(guān)鍵的風(fēng)險(xiǎn)和建議上，但確保捕獲和考慮所有風(fēng)險(xiǎn)。
• 您使用的語言和風(fēng)險(xiǎn)聲明應(yīng)與整個(gè)企業(yè)的現(xiàn)有實(shí)踐一致。如果其他人都使用標(biāo)簽來描述風(fēng)險(xiǎn)及其組成部分，那么您也應(yīng)該這樣做，但請(qǐng)記住根據(jù)上下文仔細(xì)描述您使用的任何標(biāo)簽，以確保每個(gè)人都理解它們的含義。

第 7 步 - 實(shí)施并確保

此步驟是關(guān)于實(shí)施您提出的建議（并且您的決策者已同意），以及獲得并保持對(duì)您應(yīng)用的控制和措施有效并按預(yù)期有效并繼續(xù)有效的信心。

這里的目的是確保網(wǎng)絡(luò)安全從一開始就已包含在您正在處理的系統(tǒng)或服務(wù)中，并且在設(shè)計(jì)上是安全的。作為風(fēng)險(xiǎn)從業(yè)者，您可能不直接對(duì)此活動(dòng)負(fù)責(zé)。因此，確保負(fù)責(zé)實(shí)施的人員了解他們正在解決的風(fēng)險(xiǎn)以及您為管理這些風(fēng)險(xiǎn)而提出的建議非常重要。這涉及這些控制的“整個(gè)生命周期”管理以及剩余風(fēng)險(xiǎn)的管理。通常很容易倉促或忽視這一步，但您應(yīng)該像在框架中的早期步驟中投入一樣多的時(shí)間和精力來進(jìn)行這些活動(dòng)。

我們今天用于商業(yè)和個(gè)人用途的系統(tǒng)本質(zhì)上是社會(huì)技術(shù)的，這意味著它們涉及人員、技術(shù)和業(yè)務(wù)流程。這些系統(tǒng)的交付和維護(hù)還可能涉及復(fù)雜的供應(yīng)鏈。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可能會(huì)影響所有這些因素，因此您需要確保在所有這些方面都根據(jù)需要適當(dāng)且有效地實(shí)施了網(wǎng)絡(luò)安全控制。

網(wǎng)絡(luò)安全控制和措施應(yīng)分層應(yīng)用于系統(tǒng)。這種方法有時(shí)被稱為“深度防御”，即單個(gè)控制或措施的失敗或妥協(xié)不會(huì)導(dǎo)致攻擊者立即完全訪問我們關(guān)心的內(nèi)容。為此，他們需要克服或妥協(xié)不止一種控制或措施。

在某些情況下，例如在使用云服務(wù)時(shí)，實(shí)施網(wǎng)絡(luò)安全控制的責(zé)任可能與第三方服務(wù)提供商共同承擔(dān)。您應(yīng)該注意，雖然實(shí)施控制的責(zé)任可能與第三方共同承擔(dān)，但風(fēng)險(xiǎn)（及其管理方式）的責(zé)任和義務(wù)仍然由您和您的組織承擔(dān)。

無論您是安全控制和措施、將安全應(yīng)用到您的供應(yīng)鏈，還是與第三方供應(yīng)商定義共享安全模型，您和組織內(nèi)的風(fēng)險(xiǎn)負(fù)責(zé)人都應(yīng)該尋求信心（或保證），您正在使用的控制和措施將按照您的預(yù)期發(fā)揮作用（并且只要您需要它們，它們就會(huì)繼續(xù)這樣做）。

例如：

• 您可以要求使用、管理和維護(hù)您的系統(tǒng)和服務(wù)的人員接受安全完成工作所需的培訓(xùn)和技能，從而向他們尋求保證
• 您可以通過以下方式尋求對(duì)所使用的技術(shù)和流程的保證：例如，確保它們?cè)谠O(shè)計(jì)和構(gòu)建時(shí)考慮到安全性、根據(jù)標(biāo)準(zhǔn)獨(dú)立評(píng)估它們、在部署之前和運(yùn)行過程中對(duì)其進(jìn)行安全測(cè)試，以及監(jiān)控和審核它們的使用方式

NCSC 網(wǎng)站包含有關(guān)產(chǎn)品和服務(wù)的詳細(xì)信息，由 NCSC 保證保護(hù)您的組織并向您的客戶保證您認(rèn)真對(duì)待網(wǎng)絡(luò)安全。

良好的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理是一項(xiàng)持續(xù)的活動(dòng)，因此您不能永遠(yuǎn)依賴實(shí)施決策。您需要不斷考慮您現(xiàn)有的網(wǎng)絡(luò)安全控制和保障安排在您面臨的網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)的背景下是否仍然具有相關(guān)性。

注意事項(xiàng)：

• 考慮潛在控制措施的財(cái)務(wù)和資源影響以及它們是否符合 PACE 原則（務(wù)實(shí)、適當(dāng)和成本效益）。它們還應(yīng)該符合您的風(fēng)險(xiǎn)偏好、業(yè)務(wù)目標(biāo)和規(guī)定的風(fēng)險(xiǎn)。
• 適當(dāng)使用風(fēng)險(xiǎn)管理選項(xiàng)的組合（即并非所有風(fēng)險(xiǎn)都需要通過控制來管理，而是可以避免、轉(zhuǎn)移或接受它們）。
• 尋求實(shí)現(xiàn)縱深防御并使用一系列控制措施來解決人員、業(yè)務(wù)流程、物理和技術(shù)問題；避免只關(guān)注技術(shù)，而要把人放在思考的核心位置。
• 考慮如何充分利用現(xiàn)有的現(xiàn)有控制措施，并充分利用產(chǎn)品、系統(tǒng)和服務(wù)內(nèi)置的安全功能（但默認(rèn)情況下可能未啟用，或者可以輕松調(diào)整它們以解決已識(shí)別的相關(guān)風(fēng)險(xiǎn)）。
• 確保您首先管理最高優(yōu)先級(jí)的風(fēng)險(xiǎn)。
• 采用共同基準(zhǔn)將幫助您防御最常見的威脅。您可以參考通用的控制集或框架，但不要盲目遵循這些控制，僅選擇與您的威脅模型和風(fēng)險(xiǎn)相關(guān)的控制。您可能還需要通過實(shí)施定制或有針對(duì)性的控制措施來調(diào)整或增強(qiáng)共同基準(zhǔn)，以管理您的設(shè)置或環(huán)境所特有的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
• 考慮將保障模型構(gòu)建到設(shè)計(jì)、操作和維護(hù)技術(shù)系統(tǒng)和服務(wù)的流程中，以提供對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理方式的信心。
• 檢查您做出的有關(guān)接受或容忍網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的任何決策是否仍然安全，并且所有這些風(fēng)險(xiǎn)接受決策是否可以在組織或企業(yè)風(fēng)險(xiǎn)級(jí)別上被看到和理解，以便為更高級(jí)別的風(fēng)險(xiǎn)管理觀點(diǎn)和決策提供信息。
• 定期審查您使用的網(wǎng)絡(luò)安全控制措施，以確保它們保持有效并與您面臨的風(fēng)險(xiǎn)相關(guān)。

第 8 步 - 監(jiān)控和審查

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理是一個(gè)持續(xù)的過程，您的方法需要定期審查和調(diào)整，以應(yīng)對(duì)不斷變化的威脅和風(fēng)險(xiǎn)形勢(shì)。重要的是，不僅要監(jiān)控和審查您所實(shí)施的控制措施的有效性和性能，還要監(jiān)控和審查您的風(fēng)險(xiǎn)評(píng)估和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理方法本身。網(wǎng)絡(luò)安全的設(shè)計(jì)應(yīng)在系統(tǒng)或服務(wù)所支持的業(yè)務(wù)的整個(gè)生命周期內(nèi)實(shí)施，而不僅僅是在交付系統(tǒng)或服務(wù)的項(xiàng)目/項(xiàng)目群的生命周期內(nèi)實(shí)施。

注意事項(xiàng)：

• 定期審查您的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理整體方法，為您的組織提供持續(xù)的保證，確保其有效運(yùn)營以滿足業(yè)務(wù)需求，并確定可能需要改進(jìn)的領(lǐng)域或可能需要在現(xiàn)有網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理工具箱中添加額外和/或替代方法或技術(shù)的領(lǐng)域。
• 不要害怕回滾或撤銷以前的風(fēng)險(xiǎn)處理決策：這是因?yàn)槟谑状螌?shí)施系統(tǒng)或服務(wù)時(shí)做出的處理決策今天可能不合適。
• 監(jiān)控您的系統(tǒng)將使您能夠觀察其行為是否超出您定義的參數(shù)，例如遵守網(wǎng)絡(luò)安全策略，并幫助您了解哪些地方可能需要額外的干預(yù)、措施或控制。通過這種方式，您可以將監(jiān)控本身用作控制，例如使用保護(hù)監(jiān)控和事務(wù)監(jiān)控。
• 不斷確認(rèn)現(xiàn)有的控制措施在管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)方面是適當(dāng)且相稱的。
• 制定指標(biāo)和績效指標(biāo)來衡量控制的有效性
• 當(dāng)事情發(fā)生重大變化時(shí)，重新審視您的風(fēng)險(xiǎn)評(píng)估和分析。這可能是當(dāng)您面臨的威脅發(fā)生變化時(shí)，或者當(dāng)您更改用于交付和管理系統(tǒng)或服務(wù)的技術(shù)時(shí)，或者當(dāng)您使用系統(tǒng)的方式發(fā)生重大變化時(shí)。
• 使用各種機(jī)制來監(jiān)控和審查您的系統(tǒng)和服務(wù)，例如定期審查、滲透測(cè)試、安全審核、IT 運(yùn)行狀況檢查和安全監(jiān)控解決方案或自己的日志記錄。這些機(jī)制將幫助您識(shí)別網(wǎng)絡(luò)安全事件，并提供有關(guān)您用于管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的措施和控制措施效果如何或其他方面的信息。