网络安全风险管理框架 _框架

文章插图
网络安全风险管理是一个持续的过程，您的方法需要定期审查和调整，以应对不断变化的威胁和风险形势。重要的是，不仅要监控和审查您所实施的控制措施的有效性和性能，还要监控和审查您的风险评估和网络安全风险管理方法本身。帮助了解什么是好的风险管理方法，以及哪些网络安全风险管理方法适合您的组织。
管理网络安全风险的框架本节列出了一系列可以构成任何网络安全风险管理流程基础的高级步骤。虽然此处显示的步骤反映了ISO/IEC 27005:2018中描述的流程，但在许多其他网络安全风险管理标准、指南、流程和方法中很可能会找到类似的流程或步骤。
这些步骤将帮助您了解良好的风险管理方法是什么样的，并帮助您确定哪些网络安全风险管理方法适合您的组织。
对于那些刚接触网络安全风险管理并且不知道如何开始进行风险评估等主题的人，我们还提供了基本的网络风险方法。
第 1 步 - 建立组织环境任何网络安全风险管理流程的第一步都是了解管理网络安全风险的业务环境。网络安全风险管理不应使组织的目标难以实现，而必须能够实现这些目标。建立组织和业务背景将帮助您发现和了解您的组织真正做什么、看重什么以及可能关心什么，甚至在您考虑识别和管理网络安全风险之前也是如此。
您不应该自己创建此视图。相反，您应该利用现有的组织知识。这可以是使命宣言、企业级风险信息的形式，或者您可以与业务中适当的利益相关者交谈。根据您的具体情况，这可能是在组织、计划或项目级别。白板、头脑风暴、PESTLE 和 SWOT 分析等技术可能在团体或个人中有用，可以帮助您建立这种背景。
注意事项：

您组织的使命、宗旨、目标和优先事项是什么？
您的企业关心什么、必须保护什么以及不能容忍什么结果？
您的业务的关键领域是什么？
您的决策者希望您的风险管理工作解决哪些关键问题？
您是否需要满足任何外部因素，例如法律、法规、监管、合规性或合同要求？

第 2 步 - 确定决策者、治理流程和限制因素此步骤是关于确定如何在组织内控制和指导网络安全风险管理。您应该从“组织范围”的角度进行思考，以避免孤立的思维。网络安全风险决策应与其他业务风险的管理保持一致。风险负责人或决策者不应单独担任网络职能部门，因为有关网络安全风险管理的决策属于业务决策。例如，如果您是一个较大的组织，则应该由整个董事会负责，而不是留给某个人。
为此，您需要清楚地了解您的决策者是谁、他们从事的业务级别以及他们在风险所有权、责任和问责方面的权力。也许您不直接向董事会报告，您的背景可能是一个计划或项目。因此，了解您特定情况下决策的授权和升级过程至关重要。理想情况下，所有网络安全风险管理活动都应由具有决策权的人批准，并与他们必须做出的决策相关联。因此，决策者必须能够接触到网络安全风险管理专家，并且这些专家能够根据需要有效地传达风险管理信息和问题。
您还需要了解决策者的限制（例如预算、资源和时间）以及其他组织因素，例如您遵循的采购和开发流程（例如瀑布式或敏捷式）。您的网络安全风险管理活动应与您组织的风险偏好相一致，并与更广泛的业务实践的节奏和节奏相匹配，以按时完成项目；如果你的输入晚了，它们将毫无意义。
注意事项：