网络安全风险管理介绍
为什么谈论风险管理?
数字技术改变了我们的经济、社会和个人生活,促进了科学、物流、金融、通信和一系列其他基本活动的改进。因此,我们开始依赖数字技术,这导致人们对这些技术的可靠性抱有很高的期望。
每个组织都必须就在保护其技术和服务上花费多少时间和金钱做出艰难的决定;风险管理的主要目标之一是告知和改进这些决策。纵观历史,人们都不得不应对危险,但直到最近,他们才能够以系统地预测并渴望控制风险的方式来应对。
每个人的指南
本文针对一系列不同的受众,从非技术人员到传达网络风险评估的人员,再到根据网络风险评估做出决策的人员。这是因为为了有用,网络风险管理需要让没有正式风险知识的人能够理解。
风险管理技术
目前提出了两种截然不同(但互补)的风险评估技术。
组件驱动的风险管理侧重于技术组件及其面临的威胁和漏洞。
系统驱动的风险管理采取相反的观点,将系统作为一个整体进行分析。
需要明确的是,我们不提供有关如何应用现有技术的蓝图和分步说明。但是我们将描述每种技术背后的一些核心概念,并提供有关如何实际应用技术的更详细指导的路标。
结束“勾选框”风险管理
正如我们将在风险基础部分讨论的那样,仅出于“合规”目的而进行网络风险管理可能会导致以“勾选框”方式管理风险,从而产生意想不到的负面后果。这可以防止组织质疑他们是否勾选了正确的方框,从而导致对风险管理的程度过度自信。
由于这些原因,本文不是规定性的;勾选框风险管理可能比根本没有风险管理更糟糕。本文中的任何一种技术都不会适用于所有情况。在选择应用于特定网络安全问题的风险管理技术时,仅通过在本文中指出其存在来证明该选择是合理的。需要解释为什么选择的技术与问题相关。
从哪儿开始?
对于想要一些简单实用的建议的人,关于风险和网络风险的基本原理:掌握基础知识将是一个很好的起点。
进行网络风险评估的专业人员(或监督技术项目的项目经理)可能希望从组件和系统驱动的风险管理之间的区别开始。
负责组织网络风险管理战略方法的个人应首先考虑我们关于安全治理和风险信息多样性的指导。
参考来源:英国国家网络安全中心官网