什么是網(wǎng)絡(luò)安全治理？

網(wǎng)絡(luò)安全治理是控制和指導(dǎo)組織的網(wǎng)絡(luò)安全方法的方式。如果做得好，它將有效地協(xié)調(diào)組織的活動(dòng)，如果做得不好，它將導(dǎo)致網(wǎng)絡(luò)安全風(fēng)險(xiǎn)決策的制定不佳和延遲。良好的網(wǎng)絡(luò)安全治理可以使網(wǎng)絡(luò)安全信息和決策在整個(gè)組織內(nèi)流動(dòng)。

正如安全是組織內(nèi)每個(gè)人的責(zé)任一樣，安全決策也可以發(fā)生在各個(gè)級(jí)別。為了實(shí)現(xiàn)這一目標(biāo)，組織的高級(jí)領(lǐng)導(dǎo)層應(yīng)使用安全治理來列出他們準(zhǔn)備讓員工承擔(dān)和不準(zhǔn)備承擔(dān)的安全風(fēng)險(xiǎn)類型。

哪種安全治理方法適合我？

不存在適用于每個(gè)組織的“一刀切”的治理方法。組織應(yīng)建立適合自己的安全風(fēng)險(xiǎn)管理角色和決策流程（請(qǐng)記住，某些組織可能必須遵守強(qiáng)制性要求）。

無論任何預(yù)定的結(jié)構(gòu)或流程如何，在以下情況下更有可能采用良好的方法來治理整個(gè)組織的風(fēng)險(xiǎn)管理：

• 該組織的業(yè)務(wù)目標(biāo)、優(yōu)先事項(xiàng)和對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的偏好是明確的
• 明確識(shí)別組織關(guān)心的資產(chǎn)（或?qū)崿F(xiàn)其業(yè)務(wù)目標(biāo)的價(jià)值）
• 組織制定了使風(fēng)險(xiǎn)管理有效所需的措施
• 該組織明白，為了確保安全有效，它必須成為“一切照舊”的一部分
• 組織確定誰負(fù)責(zé)（和負(fù)責(zé)）技術(shù)系統(tǒng)的安全并做出有關(guān)其安全的決策（包括這些系統(tǒng)在整個(gè)系統(tǒng)生命周期中的持續(xù)安全）
• 該組織知道如何獲取為有效和及時(shí)的網(wǎng)絡(luò)安全決策提供信息所需的信息

當(dāng)組織決定哪種治理方法適合他們時(shí)，考慮以下因素也可能會(huì)有所幫助：

• 組織如何在不同的業(yè)務(wù)、技術(shù)和決策環(huán)境中管理與技術(shù)相關(guān)的安全風(fēng)險(xiǎn)。
• 在管理與技術(shù)相關(guān)的安全風(fēng)險(xiǎn)時(shí)，哪些外部因素是相關(guān)的（例如法律、監(jiān)管或特定部門）？
• 需要哪些業(yè)務(wù)流程來支持安全風(fēng)險(xiǎn)管理決策？
• 決策者需要哪些信息和文件才能做出及時(shí)、知情和客觀的安全風(fēng)險(xiǎn)管理決策？
• 組織如何確保負(fù)責(zé)管理風(fēng)險(xiǎn)（并制定風(fēng)險(xiǎn)管理決策）的人員擁有正確的業(yè)務(wù)和安全技能、知識(shí)和培訓(xùn)？
• 組織如何讓人們相信其管理風(fēng)險(xiǎn)的方法是有效的，以及其用于業(yè)務(wù)的系統(tǒng)足夠安全以滿足其需求？
• 組織將如何確保風(fēng)險(xiǎn)管理決策和行動(dòng)的可追溯性和問責(zé)制？
• 組織將如何持續(xù)改進(jìn)管理安全風(fēng)險(xiǎn)的方式？

您應(yīng)該考慮您的組織面臨的問題并決定適合您的方法。這很重要，因?yàn)椴捎弥卫砹鞒瘫旧聿⒉荒軐?shí)現(xiàn)良好的安全性。安全治理行為不應(yīng)脫離良好安全的日常運(yùn)維。

例如，高級(jí)領(lǐng)導(dǎo)層僅僅聲明“安全風(fēng)險(xiǎn)不可接受”是不夠的。這樣做將迫使低于此領(lǐng)導(dǎo)級(jí)別的人員僅根據(jù)個(gè)人知識(shí)和經(jīng)驗(yàn)來承擔(dān)風(fēng)險(xiǎn)，而不充分考慮組織的優(yōu)先事項(xiàng)。

良好的網(wǎng)絡(luò)安全治理是什么樣的？

投資于風(fēng)險(xiǎn)管理，信任決策者

管理技術(shù)系統(tǒng)風(fēng)險(xiǎn)的管理方式應(yīng)該與組織管理其他業(yè)務(wù)活動(dòng)的方式?jīng)]有什么不同。治理一詞意味著組織主動(dòng)對(duì)其面臨的風(fēng)險(xiǎn)進(jìn)行控制，并為其業(yè)務(wù)安全提供指導(dǎo)。有效的安全治理要求組織投資于風(fēng)險(xiǎn)管理資源并信任決策者，以便擁有合適的人員、結(jié)構(gòu)和風(fēng)險(xiǎn)管理流程。這使得明智的風(fēng)險(xiǎn)管理決策能夠?qū)崿F(xiàn)組織的業(yè)務(wù)目標(biāo)和目標(biāo)。

代表決策

有效的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理建立在明智的決策之上。然而，雖然組織內(nèi)的高級(jí)管理層（例如董事會(huì)）仍然對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理負(fù)責(zé)，但他們不一定需要做出所有風(fēng)險(xiǎn)管理決策。風(fēng)險(xiǎn)管理決策可以在組織的各個(gè)級(jí)別制定，并且可以委托給最了解問題的人員。決策者應(yīng)擁有正確的安全、業(yè)務(wù)和技術(shù)知識(shí)（以及技能和經(jīng)驗(yàn)），使他們能夠在不同的業(yè)務(wù)環(huán)境中做出及時(shí)有效的風(fēng)險(xiǎn)管理決策。

為了使安全風(fēng)險(xiǎn)管理有效，重要的是在負(fù)責(zé)組織安全的人員和有權(quán)代表他們做出風(fēng)險(xiǎn)管理決策的人員之間建立清晰的溝通渠道。授權(quán)決策權(quán)時(shí)，授權(quán)范圍必須明確。也就是說，他們應(yīng)該了解何時(shí)需要升級(jí)決策以獲得企業(yè)內(nèi)部更高層的關(guān)注。

應(yīng)對(duì)復(fù)雜性和不確定性

用于提供現(xiàn)代業(yè)務(wù)功能的技術(shù)系統(tǒng)可以被視為復(fù)雜的“社會(huì)技術(shù)”系統(tǒng)，技術(shù)、人員和業(yè)務(wù)流程之間存在交互。這種復(fù)雜性意味著有時(shí)可以了解并管理安全風(fēng)險(xiǎn)的原因和影響，有時(shí)則不能。

風(fēng)險(xiǎn)管理中的不確定性是不可避免的，因?yàn)闆Q策者和從業(yè)者為安全決策提供信息所需的信息可能無法獲得、未知或主觀得出。這種不確定性因以下因素而加?。?/span>

• 參與風(fēng)險(xiǎn)分析、評(píng)估和決策過程的人員的偏見
• 現(xiàn)有風(fēng)險(xiǎn)管理技能和經(jīng)驗(yàn)的局限性
• 方法和工具及其使用方式的局限性

這種復(fù)雜性和不確定性并不意味著組織無法采取任何措施來管理安全風(fēng)險(xiǎn)。相反，負(fù)責(zé)決策的人需要：

• 了解他們所使用的方法、途徑和工具的局限性
• 了解在某些情況下可以通過實(shí)施預(yù)定義的安全控制和方法來管理風(fēng)險(xiǎn)，而在某些情況下則無法通過實(shí)施預(yù)定義的安全控制和方法來管理風(fēng)險(xiǎn)
• 采用不同的策略在不同的情況下做出明智的安全風(fēng)險(xiǎn)管理決策

發(fā)展有效的文化和環(huán)境

有效的安全文化和環(huán)境還將幫助組織應(yīng)對(duì)與我們今天使用和依賴的系統(tǒng)和服務(wù)相關(guān)的不可避免的復(fù)雜性和不確定性?？梢酝ㄟ^以下方式鼓勵(lì)適當(dāng)?shù)陌踩幕铜h(huán)境：

• 確保參與安全風(fēng)險(xiǎn)管理決策的每個(gè)人都了解實(shí)現(xiàn)目標(biāo)和維護(hù)業(yè)務(wù)優(yōu)先級(jí)比遵守通用的預(yù)定清單更重要
• 雇用具有網(wǎng)絡(luò)安全、業(yè)務(wù)和風(fēng)險(xiǎn)管理技能以及提供信息、制定和實(shí)現(xiàn)有效決策所需的知識(shí)和專業(yè)知識(shí)的人員
• 信任并授權(quán)這些人做出風(fēng)險(xiǎn)管理決策
• 將程序和文件工作量降至最低，僅達(dá)到及時(shí)有效決策所必需的程度
• 通過應(yīng)用良好的安全設(shè)計(jì)原則，將風(fēng)險(xiǎn)管理納入正常業(yè)務(wù)以及設(shè)計(jì)和開發(fā)生命周期中，因此它被視為一項(xiàng)與其他風(fēng)險(xiǎn)管理方式一致的持續(xù)活動(dòng)（而不是一次性行動(dòng)）
• 使負(fù)責(zé)制定風(fēng)險(xiǎn)管理決策的人員能夠輕松訪問（并理解）他們所需的信息
• 減少信息被誤解、削弱或以任何引入不確定性和偏見的方式闡述的機(jī)會(huì)
• 接受技術(shù)和安全風(fēng)險(xiǎn)將會(huì)發(fā)生的事實(shí)，并了解組織將采取哪些措施來最大程度地減少損害、繼續(xù)運(yùn)營并根據(jù)吸取的經(jīng)驗(yàn)教訓(xùn)進(jìn)行改進(jìn)
• 確保負(fù)責(zé)安全的人員、負(fù)責(zé)制定風(fēng)險(xiǎn)管理決策的人員以及負(fù)責(zé)開展風(fēng)險(xiǎn)管理活動(dòng)的人員之間的溝通清晰且有意義，以便能夠根據(jù)信息正確有效地采取行動(dòng)

有效傳達(dá)風(fēng)險(xiǎn)管理信息

風(fēng)險(xiǎn)管理信息的有效溝通有助于組織指導(dǎo)和控制風(fēng)險(xiǎn)管理活動(dòng)。為了使這種溝通有效，組織必須建立內(nèi)部和外部渠道來與員工、業(yè)務(wù)合作伙伴和客戶進(jìn)行溝通。當(dāng)組織內(nèi)部的溝通在組織的正確層級(jí)之間進(jìn)行時(shí)，溝通是最有效的：自上而下、自下而上和橫向：

• 自上而下的溝通為決策者提供公司方向和業(yè)務(wù)目標(biāo)
• 自下而上和橫向溝通提供詳細(xì)的技術(shù)、非技術(shù)和安全信息，為風(fēng)險(xiǎn)管理決策提供信息

內(nèi)部溝通時(shí)，這些信息至少應(yīng)包括：

• 業(yè)務(wù)目標(biāo)、優(yōu)先事項(xiàng)和風(fēng)險(xiǎn)管理方向
• 組織關(guān)心什么以及為什么
• 組織將（和不會(huì)）承擔(dān)哪些風(fēng)險(xiǎn)
• 誰負(fù)責(zé)制定風(fēng)險(xiǎn)管理決策

當(dāng)與第三方進(jìn)行外部溝通時(shí)，這些信息至少應(yīng)包括：

• 風(fēng)險(xiǎn)管理和決策背景
• 需要保護(hù)什么以及為什么
• 如果受保護(hù)資產(chǎn)的安全依賴于另一方，那么組織希望該方采取什么措施來保護(hù)它？（例如合同中的安全條款、程序或安全要求）
• 如果第三方為組織關(guān)心的事物提供安全性，組織如何獲得第三方正在按預(yù)期提供安全性的信心？

為了以清晰且有意義的方式傳達(dá)風(fēng)險(xiǎn)管理信息，組織應(yīng)使用簡單的英語和眾所周知的業(yè)務(wù)、技術(shù)和安全術(shù)語。應(yīng)避免使用定制的風(fēng)險(xiǎn)管理語言或?qū)I(yè)術(shù)語。

人們通常認(rèn)為，由于組織使用通用的風(fēng)險(xiǎn)評(píng)估（或風(fēng)險(xiǎn)管理）方法，因此他們將能夠使用生成的風(fēng)險(xiǎn)信息（例如順序風(fēng)險(xiǎn)或影響級(jí)別或標(biāo)簽）作為速記方式將信息傳達(dá)給風(fēng)險(xiǎn)管理決策者和業(yè)務(wù)合作伙伴。如果沒有就風(fēng)險(xiǎn)管理信息的含義達(dá)成一致，這個(gè)假設(shè)是不正確的。人們和組織會(huì)根據(jù)個(gè)人和群體的偏見、經(jīng)驗(yàn)、知識(shí)和優(yōu)先事項(xiàng)來解釋或誤解風(fēng)險(xiǎn)相關(guān)信息。如果提供的風(fēng)險(xiǎn)管理信息沒有含義、解釋或上下文，則尤其如此。

與任何其他關(guān)系一樣，各方之間的信任建立在良好的溝通基礎(chǔ)上，使各方能夠理解他人的價(jià)值，并就風(fēng)險(xiǎn)管理信息和風(fēng)險(xiǎn)評(píng)估輸出的具體含義達(dá)成一致。這種理解將使組織能夠信任其他人向他們提供的風(fēng)險(xiǎn)管理信息，并充滿信心地使用技術(shù)系統(tǒng)和服務(wù)。