网络安全的 10 个步骤之风险管理

首先再次祝大家国庆节快乐,假期收获满满!

采取基于风险的方法来保护数据和系统。

承担风险是做生意的自然组成部分。风险管理为决策提供信息,以便在威胁和机会之间取得适当的平衡,以最好地实现组织业务目标。网络安全领域的风险管理有助于确保以最适当的方式保护组织中的技术、系统和信息,并将资源集中在对组织业务最重要的事情上。良好的风险管理方法将贯穿整个组织,并补充管理其他业务风险的方式。


有什么好处?

良好的风险管理:

告知并改进决策有助于在整个组织中下发决策,同时保持适当的董事会级别的监督

为适应和有效应对出现的新威胁和机遇奠定基础

无论网络风险管理的新手,还是正在尝试评估现有方法的有效性,本指南都将帮助了解在组织环境中什么是良好的风险管理方法 。


该怎么办?

考虑想要管理网络风险的更广泛的背景。

  • 想想组织做什么,以及关心什么。业务优先级和目标是什么?这似乎是网络安全的一个奇怪起点,但它为网络风险管理奠定了基础。网络风险管理与组织想要实现的目标无关,而是应该支持组织目标。考虑愿意(或不愿意)通过技术来实现目标和目标的风险将帮助组织决定采取哪些步骤来管理网络安全风险。

  • 考虑采用何种治理结构来管理其他类型的业务风险。网络风险的管理和沟通如何适应这些结构?有效的治理对于良好的网络安全风险管理很重要,因为它控制和指导组织为管理其面临的网络安全风险而采取的活动和行动。管理网络安全相关风险的方法应以适合组织的方式有效管理。

  • 确保组织有足够的由董事会批准和拥有的政策,为整个组织制定风险管理战略,并在适当的其他组织政策中考虑网络安全。应该确保董事会集体对网络安全有足够的了解,以便他们了解网络安全如何支持其整体组织目标。他们应该在他们需要的时候以他们理解的格式获取他们需要的信息,以便做出决策。

了解需要在何处应用网络风险管理

  • 考虑组织为实现其组织目标和优先事项而使用和依赖的技术、系统、服务和信息的范围。应该使用各种信息来源来帮助您确定此范围。例如,对于现有系统,可以使用资产登记册和系统图;对于开发中的系统,可以从高级设计开始。与系统或服务的使用、管理人员或受其影响的人员交谈,还可以深入了解要保护的内容及其原因。

  • 请记住包括可能不受直接控制但仍属于您组织更广泛风险问题的一部分(例如供应链、第三方服务和云服务的使用)。

  • 不要忘记考虑人们如何与技术、系统和服务交互。如何支持他们以安全和可用的方式执行此操作有助于管理组织的网络安全风险。系统涉及人员、流程和技术,网络风险管理方法应考虑到这些不同的元素以及它们如何相互作用。

选择适合组织的网络安全风险管理方法

  • 考虑哪种网络安全风险管理方法或方法组合适合组织。有许多工具、方法、框架和标准可供选择——有些可能是通过标准或法规规定的,有些需要付费,有些则可以免费使用。选择一种适合业务并且能够揭示有关系统和服务的良好风险信息的方法非常重要。

  • 了解并不总是需要进行详细的风险评估。例如,可以使用Cyber Essentials等基线来提供有关保护组织免受最常见的基于 Internet 的攻击所需的基本控制的信息。然而,单独使用诸如 Cyber Essentials 之类的基线有其局限性,因为只有 Cyber Essentials 计划通常考虑的风险才会被其推荐的控制措施覆盖。它们并非旨在管理组织可能面临的所有网络安全相关风险。为了获得更量身定制的视角,组织需要对自身进行风险分析和评估,以满足自身的特定需求。

  • 不同的方法提供了不同的风险视角。将需要使用多种方法和方法的组合,以尽可能最好地了解所面临的风险。

了解面临的风险以及如何管理它们

  • 使用选择的方法来识别、分析、评估和确定风险的优先级,并就将如何管理这些风险做出决策。例如,是否打算通过应用一些技术或非技术控制来降低风险?是否会接受风险并继续进行而不采取任何进一步的行动来减轻它?是否打算将风险转移给其他人(例如考虑网络安全保险)?或者是否打算通过改变组织成员行为来消除风险发生的机会来避免风险?

  • 确保正在考虑各种风险信息,并从专家或可信赖的信息来源中寻找信息。还可以考虑加入行业和政府内部的知识共享合作伙伴关系(例如 CiSP 信息共享平台,它允许英国组织在安全和机密的环境中共享网络威胁信息)。

  • 请记住,如果选择应用控制来管理风险,应该确保这些控制与风险成比例、可用且不会对业务运作方式产生不利影响。

就网络风险和网络风险管理进行有效沟通

  • 确保将风险管理方法有效地传达给员工和决策者,以便他们了解应如何管理网络安全风险并帮助他们做出相关决策。

  • 确保以适合贵组织谈论其他类型风险(例如法律或财务风险)的方式传达网络风险。

  • 确保使用有意义的语言并充分解释使用的任何风险标签或评分。使用无意义或沟通不畅的标签会导致误解和误解。例如,在组织中,每个人对什么构成中等风险的解释是否相同?

应用并寻求对选择的控件的信心

  • 应用选择的控制来降低系统和服务的风险。此集合中的以下步骤可以帮助组织应用适当的安全控制和缓解措施:体系结构和配置、漏洞管理、身份和访问管理、数据安全以及日志记录和监控。

  • 确保了解应用控制后仍存在哪些风险。无论是应用一套针对组织风险定制的控制措施,还是基于 Cyber Essentials 等基线,都不可能完全消除风险。剩余风险(称为剩余风险)应由组织内负责风险的人员理解。

  • 确保采取的缓解措施包有效地管理了确定的风险,并考虑在系统在未来使用时如何保持这种信心。

不断改进风险管理方法

  • 请记住,风险管理是一个迭代过程。技术在变化,商业环境及其相关的威胁和机遇也在变化。

  • 定期审查风险,以确保决定管理风险的方式仍然有效和适当。特别是,当发生重大变化时,应该重新审视风险评估。这可能是当面临的威胁发生变化时,或者当更改用于交付和管理系统或服务的技术时,或者当使用系统的方式发生重大变化时。

  • 还需要审查用于风险管理的方法、框架和工具,以确保它们在业务环境中以及面对不断发展的网络安全和威胁形势时继续有效。

参考来源:英国国家网络安全中心官网

(0)

相关推荐

  • OT网络安全风险建模的标准方法(美国国家标准技术研究院)

    图片来源:CEChina 作者 | Steven Seiden " 随着IIoT部署的增加,制造企业需要积极应对新出现的网络安全漏洞,并为工业控制系统.RTU和SCADA等运营技术的应用部署 ...

  • PSC快讯|| 网络安全将纳入海事安全管理体系审核

    随着船舶数字化.智能化.网络化发展水平的提升,网络技术在船舶驾驶控制.货物装卸.推进系统.旅客管理.通信系统等方面的应用已成为对航运安全和保障海洋环境所必不可少的技术.船舶越来越多的对外信息交互,使船 ...

  • 网络安全的 10 个步骤之资产管理

    了解管理哪些数据和系统,以及它们支持哪些业务需求. 资产管理包括建立和维护资产所需知识的方式.随着时间的推移,系统通常会有机地增长,并且很难保持对环境中所有资产的了解.事件的发生可能是由于没有完全了解 ...

  • 网络安全的 10 个步骤之漏洞管理

    国庆快乐, 假期最后一天, 祝愿大家归家路上一路畅通! 在整个生命周期内保护系统. 大多数网络安全事件是攻击者利用公开披露的漏洞来访问系统和网络的结果.一旦漏洞被披露,攻击者通常会不加选择地寻求利用漏 ...

  • 网络安全的 10 个步骤之身份鉴别和访问控制

    控制谁和什么可以访问系统和数据. 需要保护对数据.系统和服务的访问.了解谁或什么需要访问,以及在什么条件下,与了解谁需要被排除在外同样重要.必须选择适当的方法来建立和证明用户.设备或系统的身份,并有足 ...

  • 网络安全的 10 个步骤之数据安全

    保护易受攻击的数据. 需要保护数据免遭未经授权的访问.修改或删除.涉及确保数据在传输.静止和寿命结束时受到保护(即,在使用后有效地消除或销毁存储介质).在许多情况下,数据不受组织直接控制,因此考虑可以 ...

  • 网络安全的10个步骤之事件管理

    提前计划对网络事件的响应. 事件可能对组织的成本.生产力和声誉产生巨大影响.但是,良好的事件管理会在事件发生时减少影响.能够检测并快速响应事件将有助于防止进一步的损害,减少财务和运营影响.在媒体聚光灯 ...

  • 网络安全的 10 个步骤之供应链安全

    与供应商和合作伙伴协作. 大多数组织依靠供应商来交付产品.系统和服务.对供应商的攻击可能与直接针对自己的组织的攻击一样造成损害.供应链通常庞大而复杂,有效地保护供应链可能很困难,因为漏洞可能在其中的任 ...

  • 网络安全的 10 个步骤之架构和配置

    安全地设计.构建.维护和管理系统. 技术和网络安全格局在不断发展.为了解决这个问题,组织需要确保从一开始就将良好的网络安全融入到他们的系统和服务中,并且这些系统和服务可以得到维护和更新,以有效地适应新 ...

  • 网络安全的 10 个步骤之日志记录和监控分析

    设计系统,使其能够检测和调查事件. 收集日志对于了解系统是如何使用的至关重要,并且是安全(或保护性)监控的基础.如果出现问题或潜在的安全事件,良好的日志记录实践将能够回顾发生的事情并了解事件的影响.安 ...

  • 网络安全的 10 个步骤之安全培训

    协作构建适用于组织中人员的安全性. 人应该是任何网络安全战略的核心. 良好的安全性考虑到人们在实践中的工作方式,并且不会妨碍人们完成工作.人们也可以成为预防事件(或检测何时发生)的最有效资源之一,前提 ...