暂无图片
暂无图片
暂无图片
暂无图片
暂无图片
首页 / 第07篇 风险管理

第07篇 风险管理

运维大叔 2021-07-30
846

安全环境下的风险指破坏发生的可能性以及破坏发生后的衍生情况。
风险管理是识别并评估风险,将风险降至可接受水平并确保能维持这种水平的过程。
百分之百安全的环境是不存在的。
每种环境都有某种程度的脆弱性,都面临一定威胁。
问题关键在于识别这些威胁,评估它们实际发生的可能性以及可能造成的破坏,并采取适当措施将环境的总体风险降至组织可接受的水平。

当企业考虑信息安全时,企业需要了解并恰当处理以下几类风险:

  • 物理破坏。火灾、水灾、蓄意毁坏、停电和自然灾害。

  • 人为破坏。可能降低生产效率的无意或有意的行为或不作为。

  • 设备故障。系统或外围设备故障。

  • 内部和外部的攻击。黑客、破解和攻击行为。

  • 数据滥用。泄露商业秘密、欺诈、间谍和盗窃。

  • 数据丢失。信息被有意或无意地泄露给未经授权的接收者。

  • 应用程序错误。计算错误、输入错误和缓冲区溢出。

组织需要识别这些威胁,对威胁进行分级和分类,从而评价并计算威胁可能对组织造成的损失程度。虽然很难衡量实际风险,但组织可根据潜在的风险大小来决定处理各种风险的优先顺序。

全面风险管理:

为妥善管理组织内的风险,安全专家需要全面考虑。毕竟,风险是存在于具体环境中的。NIST SP 800-39定义了风险管理的三个层面:

  • 组织层面。关注业务的整体风险。这意味着为组织设置风险管理的框架和重要的偏好倾向,如风险容忍度。

  • 业务流程层面。处理组织主要职能面对的风险。例如,定义组织与合作伙伴或客户之间信息流的关键程度。这是底层。

  • 信息系统层面。从信息系统的角度解决风险。虽然这是将要讨论的重点,但重要的是要理解风险存在于(而且必须符合)其他更广义的风险管理工作的背景下。

正确实施风险管理意味着全面了解组织自身、组织所面临的威胁以及可以实施的应对这些威胁的安全对策,并持续监测以确保风险始终处于可接受的水平。

信息系统风险管理策略

要开展完善的风险管理,需要高级管理层的坚定承诺和支持,需要实现组织任务的书面规范流程,需要信息系统风险管理(Information Systems Risk Management,ISRM)策略,还需要授权的信息系统风险管理团队。

ISRM 策略应成为组织总体风险管理策略的一部分并且应当在组织的安全策略中体现出来。信息系统风险管理策略应当涉及下列内容:

  • 信息系统风险管理团队的目标。

  • 组织可接受的风险水平及其定义。风险识别的正式流程。

  • 信息系统风险管理策略与组织的战略规划过程之间的联系。

  • 信息系统风险管理的职责以及履行这些职责的角色。

  • 风险和内部控制之间的对应关系。

  • 为响应风险分析而改变员工行为和资源分配的方法。

  • 风险与绩效目标和预算之间的对应关系。

  • 持续监测安全控制措施有效性的主要指标。

信息系统风险管理策略为组织的风险管理流程及程序奠定基础,指明方向,并解决所有信息安全问题。同时,信息系统风险管理策略还应为风险管理团队如何向高级管理层沟通公司风险信息,以及如何正确执行管理层决定的风险缓解任务提供指导。

风险管理团队:

每个组织在组织规模、安全态势、威胁类型与安全预算方面存在差异。组织可能只有一名负责信息系统风险管理的员工,也可能拥有一个协同工作的信息系统风险管理团队。
团队的总体目标在于以性价比最高的方式确保公司安全。这一目标只有通过完成下列工作才可能实现:

  • 由高级管理层提供的明确的风险接受水平。

  • 文档化的风险评估流程与程序。

  • 识别和缓解风险的程序。

  • 由高级管理层分配的充足资源与资金。

  • 对所有与信息资产有关的员工进行安全意识宣贯教育。

  • 如有必要,应成立特殊领域的改进(或风险缓解)团队。

  • 将对法律法规的合规要求转化为控制和实施的具体需求。

  • 开发衡量标准和绩效指标,以衡量和管理各类风险。

  • 能随环境和公司变化识别和评估新风险。

  • 集成信息系统风险管理与组织的变更控制流程,保证这些变更不会形成新漏洞。

风险管理流程:

到目前为止,组织应该相信,风险管理对组织的长期安全(甚至是业务成功)至关重要。但如何才能做到这一点? NIST SP 800-39描述了构成风险管理流程的如下四个相互关联的组件。这些组件很好地概括了本节其余部分关于风险管理的讨论。

  • 风险框架。定义了所有其他风险活动发生的背景。组织的假设和约束是什么?什么是
    组织的优先事项?高级管理人员的风险承受能力(水平)是什么?

  • 风险评估。组织必须在采取任何风险缓解措施前,对风险进行评估。这可能是整个流程中最关键的一个方面。如果组织的风险评估结果是正确的,那么剩下的过程就变得相当简单了。

  • 风险响应。到目前为止,组织已做足了功课。组织知道应该、必须和不能做什么(来自风险框架组件)。组织也知道威胁、脆弱性和攻击会导致什么后果(来自风险评估组件)。对风险的响应变成将组织有限的资源与组织的优先控制集合相匹配的问题。组织不仅可缓解重大风险,更重要的是,可报告最高管理者,因为资源不足哪些风险将无法处置。

  • 风险监测。无论组织如何努力,仍然可能漏掉一些事情。纵然没有漏掉,环境也可能发生改变(也许出现了一项新的威胁源,或一个新系统带来了新脆弱性)。为领先攻击者一步,组织需要持续监测组织设计的风险控制措施的有效性。


<关注下方公众号系列好文持续推送>




数据库
文章转载自运维大叔,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

评论