風(fēng)險(xiǎn)的幽靈使得組織別無(wú)選擇,只能改善各種網(wǎng)絡(luò)風(fēng)險(xiǎn)的總體管理。以下是一個(gè)基于信息安全論壇的IRAM2方法論的分步過(guò)程,網(wǎng)絡(luò)安全和風(fēng)險(xiǎn)從業(yè)者可以利用它來(lái)評(píng)估和管理信息風(fēng)險(xiǎn)。
第1步:范圍界定練習(xí)
范圍界定練習(xí)的目標(biāo)是提供一個(gè)以業(yè)務(wù)為中心的已識(shí)別風(fēng)險(xiǎn)視圖。這涉及在業(yè)務(wù)范圍(知識(shí)產(chǎn)權(quán)、品牌或聲譽(yù)、組織績(jī)效)和評(píng)估的技術(shù)范圍(信息架構(gòu)、用戶分析、技術(shù)或服務(wù)評(píng)估)之間實(shí)現(xiàn)利益相關(guān)者的對(duì)齊和協(xié)議。
此練習(xí)可以幫助確定哪一方將負(fù)責(zé)評(píng)估各個(gè)風(fēng)險(xiǎn)領(lǐng)域以及特定風(fēng)險(xiǎn)評(píng)估背后的授權(quán)。例如,選擇誰(shuí)將處理引入新的業(yè)務(wù)服務(wù)或技術(shù),或解決對(duì)業(yè)務(wù)特定領(lǐng)域的管理關(guān)切。
第2步:業(yè)務(wù)影響評(píng)估(BIA)
BIA用于確定任何信息資產(chǎn)或系統(tǒng)的保密性、可用性或完整性受到損害時(shí)可能對(duì)業(yè)務(wù)造成的潛在影響。BIA的第一步是識(shí)別所有相關(guān)的信息資產(chǎn),如客戶和財(cái)務(wù)數(shù)據(jù),以及用于服務(wù)和系統(tǒng)運(yùn)營(yíng)的信息,在所有環(huán)境和整個(gè)信息生命周期(輸入、處理、傳輸、存儲(chǔ))中。
一旦資產(chǎn)被識(shí)別,就可以為它們分配一個(gè)值(排名或優(yōu)先級(jí))。然后,通過(guò)比較包含最合理影響的現(xiàn)實(shí)情景和每個(gè)資產(chǎn)的最壞情況情景,可以確定任何潛在安全事件的程度。
第3步:威脅分析
這一階段有助于識(shí)別和優(yōu)先排序威脅,并理解它們?nèi)绾物@現(xiàn)。威脅分析從通過(guò)與關(guān)鍵利益相關(guān)者的討論和分析可用的威脅情報(bào)來(lái)源(例如,內(nèi)部威脅情報(bào)團(tuán)隊(duì)或外部商業(yè)訂閱)識(shí)別潛在相關(guān)威脅開(kāi)始。
一旦構(gòu)建了威脅景觀,就應(yīng)對(duì)其中的每個(gè)威脅進(jìn)行分析。威脅可以基于兩個(gè)關(guān)鍵風(fēng)險(xiǎn)因素進(jìn)行分析:發(fā)起可能性 —— 特定威脅發(fā)起一個(gè)或多個(gè)威脅事件的可能性,以及威脅強(qiáng)度,或特定威脅有效發(fā)起或執(zhí)行威脅事件的能力。
威脅還可以通過(guò)將它們分為一個(gè)總體群體來(lái)進(jìn)一步分析:對(duì)立的、偶然的或環(huán)境的。
第4步:漏洞評(píng)估
完成威脅分析后,下一階段是識(shí)別信息資產(chǎn)對(duì)每個(gè)識(shí)別威脅的
脆弱程度。漏洞評(píng)估用于檢查每個(gè)關(guān)鍵控制的相關(guān)性程度以及其實(shí)施的性能和質(zhì)量。
每個(gè)漏洞都必須被評(píng)估,并根據(jù)其控制的相對(duì)強(qiáng)度來(lái)表達(dá)。控制的強(qiáng)度可以基于該控制的利益相關(guān)者評(píng)級(jí)以及支持信息(如控制特性、性能、缺陷和文檔)來(lái)計(jì)算。
在評(píng)估結(jié)束時(shí),從業(yè)者將對(duì)哪些信息資產(chǎn)對(duì)哪些威脅事件脆弱有了堅(jiān)實(shí)的了解。
第5步:風(fēng)險(xiǎn)評(píng)估
通過(guò)評(píng)估風(fēng)險(xiǎn),組織可以繪制出威脅成功的可能性、最壞情況的業(yè)務(wù)影響會(huì)是什么,以及這些如何適應(yīng)它們的整體風(fēng)險(xiǎn)管理計(jì)劃。
第一步是為每個(gè)風(fēng)險(xiǎn)選擇最相關(guān)的影響情景。這意味著在現(xiàn)實(shí)結(jié)果(考慮威脅的強(qiáng)度)和最壞情況情景之間做出決定。
其次,至關(guān)重要的是識(shí)別可能減少威脅影響的現(xiàn)有或計(jì)劃中的控制。像其他控制評(píng)估一樣,判斷這些控制減少固有影響的程度是主觀的。這里,風(fēng)險(xiǎn)從業(yè)者和關(guān)鍵利益相關(guān)者的經(jīng)驗(yàn)發(fā)揮了至關(guān)重要的作用。
第6步:風(fēng)險(xiǎn)處理
這一步探討了管理信息風(fēng)險(xiǎn)的各種方法:
減輕:構(gòu)建更強(qiáng)的防御,改進(jìn)現(xiàn)有控制并實(shí)施新控制以減輕潛在攻擊的影響。
避免:避免或消除可能觸發(fā)或?qū)е聺撛陲L(fēng)險(xiǎn)的任何活動(dòng)。
轉(zhuǎn)移:允許另一方承擔(dān)一定級(jí)別的風(fēng)險(xiǎn),例如,獲得網(wǎng)絡(luò)保險(xiǎn)。
接受:承認(rèn)風(fēng)險(xiǎn)發(fā)生及其潛在后果的可能性,但基于組織的風(fēng)險(xiǎn)容忍度不采取進(jìn)一步行動(dòng)。
風(fēng)險(xiǎn)處理應(yīng)由組織的風(fēng)險(xiǎn)偏好指導(dǎo)。單獨(dú)評(píng)估每個(gè)風(fēng)險(xiǎn),以確定它是否超出了組織的風(fēng)險(xiǎn)容忍度。當(dāng)所有風(fēng)險(xiǎn)處理選項(xiàng)都清晰時(shí),創(chuàng)建一個(gè)風(fēng)險(xiǎn)處理計(jì)劃。跟進(jìn)執(zhí)行計(jì)劃并監(jiān)控結(jié)果,以確保風(fēng)險(xiǎn)管理工作成功。
使用風(fēng)險(xiǎn)評(píng)估的六個(gè)步驟
在第六步結(jié)束時(shí),風(fēng)險(xiǎn)評(píng)估過(guò)程實(shí)際上已經(jīng)完成。從業(yè)者對(duì)評(píng)估環(huán)境有了更好的了解。這包括相關(guān)威脅、相關(guān)漏洞和優(yōu)先排序的風(fēng)險(xiǎn)的清晰畫(huà)面。已經(jīng)制定并實(shí)施了一個(gè)風(fēng)險(xiǎn)處理計(jì)劃,將風(fēng)險(xiǎn)降低到可接受的水平。
重要的是要記住,信息安全的世界是動(dòng)態(tài)的;威脅事件、漏洞及其對(duì)業(yè)務(wù)的影響是流動(dòng)和演變的。當(dāng)組織或環(huán)境經(jīng)歷重大變化或緩解努力時(shí),從業(yè)者和利益相關(guān)者應(yīng)始終評(píng)估風(fēng)險(xiǎn)。
企業(yè)網(wǎng)D1net(hfnxjk.com):
國(guó)內(nèi)主流的to B IT門(mén)戶,同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開(kāi)頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)