網(wǎng)絡(luò )安全風(fēng)險管理是指識別、評估企業(yè)網(wǎng)絡(luò )信息系統中的缺陷和風(fēng)險隱患，并采取相應的安全控制以防止網(wǎng)絡(luò )威脅，這是一個(gè)持續的過(guò)程，會(huì )隨著(zhù)威脅的發(fā)展而不斷優(yōu)化調整。網(wǎng)絡(luò )安全風(fēng)險管理和網(wǎng)絡(luò )安全防護是兩個(gè)密切相關(guān)但不可互換的概念，網(wǎng)絡(luò )安全防護側重于應對攻擊和響應正在發(fā)生的安全事件，而網(wǎng)絡(luò )安全風(fēng)險管理則強調從更全面的視角去評估企業(yè)的安全狀況和面臨的威脅態(tài)勢，要從對組織運營(yíng)、商譽(yù)、財務(wù)和合規等多個(gè)方面整體應對各種可能發(fā)生的網(wǎng)絡(luò )威脅。

因此，當企業(yè)組織開(kāi)展網(wǎng)絡(luò )安全風(fēng)險管理時(shí)沒(méi)有捷徑可走，安全團隊需要全面考慮各個(gè)方面的風(fēng)險因素。本文梳理了可以有效落地網(wǎng)絡(luò )安全風(fēng)險管理流程的10個(gè)關(guān)鍵要素，將幫助企業(yè)更好開(kāi)展相關(guān)工作。

1、從業(yè)務(wù)發(fā)展的角度識別風(fēng)險

企業(yè)的安全團隊應該準確理解，開(kāi)展網(wǎng)絡(luò )安全風(fēng)險管理是為了更好地實(shí)現業(yè)務(wù)發(fā)展目標，因此網(wǎng)絡(luò )安全風(fēng)險管理的基礎要求是要從業(yè)務(wù)發(fā)展的角度識別風(fēng)險，了解當前網(wǎng)絡(luò )安全風(fēng)險的業(yè)務(wù)環(huán)境。從業(yè)務(wù)發(fā)展視角識別現有的安全風(fēng)險和潛在的安全威脅至關(guān)重要，這將決定后續的風(fēng)險管理工作中需要做多少，以及需要保護的重點(diǎn)是什么。

2、網(wǎng)絡(luò )安全風(fēng)險評估

網(wǎng)絡(luò )安全風(fēng)險評估是指企業(yè)根據其關(guān)鍵業(yè)務(wù)發(fā)展目標，量化不同網(wǎng)絡(luò )風(fēng)險的潛在影響以及發(fā)生的可能性。通過(guò)風(fēng)險評估，企業(yè)管理者和安全團隊可以更加合理地分配防護資源，聚焦于關(guān)鍵性風(fēng)險，以最具性?xún)r(jià)比的方式將風(fēng)險控制在企業(yè)可以接受的范圍內。網(wǎng)絡(luò )安全風(fēng)險評估可以借助FAIR等風(fēng)險量化模型來(lái)實(shí)現，主要步驟包括風(fēng)險范圍界定、風(fēng)險識別、風(fēng)險分析、風(fēng)險評估和記錄報告等。

3、定義組織的風(fēng)險承受能力

除了網(wǎng)絡(luò )安全風(fēng)險評估，安全團隊還必須確定組織的網(wǎng)絡(luò )安全風(fēng)險承受能力。當不影響業(yè)務(wù)發(fā)展的時(shí)候，企業(yè)組織可以接受和承擔一定程度的網(wǎng)絡(luò )安全風(fēng)險。如果經(jīng)過(guò)量化評估的網(wǎng)絡(luò )安全風(fēng)險在可承受的范圍內，企業(yè)的管理者就可以在一定時(shí)期內接受該風(fēng)險，而將注意力和防護資源投入到更需要重視的高優(yōu)先級風(fēng)險中。需要強調的是，企業(yè)在定義網(wǎng)絡(luò )安全風(fēng)險承受能力的時(shí)候，應該與組織的整體業(yè)務(wù)發(fā)展目標保持一致。

4、制定風(fēng)險化解策略

有許多途徑、方法和工具可用于幫助企業(yè)管理和緩解網(wǎng)絡(luò )安全風(fēng)險，但沒(méi)有一種策略能夠適合所有企業(yè)，也沒(méi)有一種安全工具可以解決所有的問(wèn)題。企業(yè)應該根據已識別風(fēng)險的關(guān)鍵特征，制定適合自己的風(fēng)險化解策略，這些策略可能包括實(shí)施技術(shù)控制措施、流程改進(jìn)和安全培訓計劃等。同時(shí)，安全團隊應該利用先進(jìn)的安全技術(shù)工具，向企業(yè)管理層表明降低風(fēng)險的必要性和價(jià)值，并確定風(fēng)險緩解措施的優(yōu)先級。

5、制定事件響應計劃

沒(méi)有絕對的安全，因此企業(yè)不能在網(wǎng)絡(luò )安全事件發(fā)生時(shí)才被動(dòng)響應，而是要提前制定安全事件響應的策略和計劃，盡量減少攻擊事件造成的影響。在此計劃中，組織應該明確界定事件響應團隊成員的角色和職責，并定期進(jìn)行演練和演習，測試計劃的有效性，并對過(guò)程中所發(fā)現的不足進(jìn)行完善。

6. 模擬測試和演練

實(shí)戰化背景下的模擬測試可以更快速了解企業(yè)在網(wǎng)絡(luò )防御方面的不足，同時(shí)梳理企業(yè)的IT資產(chǎn)、尋找漏洞和攻擊路徑，以便更好地修復或應對風(fēng)險。此外，定期開(kāi)展測試演練，作用不僅僅在于發(fā)現安全問(wèn)題，對系統開(kāi)發(fā)人員深入了解計算機系統也會(huì )大有幫助。通過(guò)了解為企業(yè)效力的“壞人”的想法，有助于防止一些災難性的網(wǎng)絡(luò )安全事件發(fā)生，降低企業(yè)業(yè)務(wù)發(fā)展風(fēng)險。

7. 持續風(fēng)險監控

網(wǎng)絡(luò )安全風(fēng)險管理是一個(gè)整體性工作，也是一個(gè)持續的流程。實(shí)現持續地網(wǎng)絡(luò )安全風(fēng)險監控對于發(fā)現新的威脅和漏洞至關(guān)重要。企業(yè)應該積極利用自動(dòng)化技術(shù)，將其量化預警信息或風(fēng)險暴露狀況統一整合起來(lái)，提升企業(yè)預測潛在風(fēng)險的能力。實(shí)現控制環(huán)境與未知風(fēng)險之間的協(xié)同，是開(kāi)展網(wǎng)絡(luò )安全風(fēng)險管理的核心關(guān)注點(diǎn)之一。

8. 員工安全意識培養

盡管存在種種技術(shù)漏洞，但人依然是網(wǎng)絡(luò )安全中最薄弱的環(huán)節。企業(yè)可以限制用戶(hù)對某些系統和數據的訪(fǎng)問(wèn)，卻難以阻止員工可能會(huì )犯的每個(gè)人為性錯誤。因此，持續的員工網(wǎng)絡(luò )安全意識培訓是減小數字攻擊面最重要的安全控制之一?，F代企業(yè)中的每一位員工都應該定期接受網(wǎng)絡(luò )安全意識培訓，以識別網(wǎng)絡(luò )釣魚(yú)等攻擊企圖，了解哪些數據很敏感，了解潛在的風(fēng)險和漏洞，并了解如何遵循確保敏感數據安全的最佳實(shí)踐。盡管人為性錯誤難以避免，但能通過(guò)適當的教育和培訓，可以大大降低導致數據泄露危害發(fā)生的可能性。

9. 供應商和第三方風(fēng)險管理

隨著(zhù)軟件供應鏈攻擊的不斷加劇，企業(yè)網(wǎng)絡(luò )安全風(fēng)險管理不僅需要包括組織內部的管理，還需要定期評估第三方供應商和合作伙伴的安全風(fēng)險。因為，今天的企業(yè)組織大量依賴(lài)于第三方生態(tài)來(lái)共同構建產(chǎn)品，并完成對用戶(hù)的服務(wù)交付，創(chuàng )建一個(gè)有效的TPRM計劃對于組織評估潛在的安全風(fēng)險，管理不斷增長(cháng)的數字攻擊面至關(guān)重要。

10. 面對管理層的匯報與溝通

網(wǎng)絡(luò )安全風(fēng)險管理已經(jīng)成為企業(yè)數字化發(fā)展中的核心職能，董事會(huì )和管理層對這項工作的關(guān)注和審查力度也大大增加。高層領(lǐng)導想知道威脅發(fā)生的情況、投入資金的方向以及如何繼續改進(jìn)和發(fā)展。因此，安全領(lǐng)導者需要能夠清楚地闡述與業(yè)務(wù)目標緊密相關(guān)的網(wǎng)絡(luò )安全風(fēng)險管理計劃，避免使用技術(shù)術(shù)語(yǔ)。此外，要讓所有利益相關(guān)者都可以及時(shí)了解組織在網(wǎng)絡(luò )安全方面的計劃和變動(dòng)，安全領(lǐng)導者應該基于最新的風(fēng)險信息編制完整的風(fēng)險管理態(tài)勢報告。

原文來(lái)源：安全牛