网络安全风险管理框架( 二 ) _框架

您的安全预算是多少？

第 3 步 - 定义网络安全风险挑战首先从高层次仔细思考定义网络安全风险挑战的关键特征。我们使用“挑战”一词，但您可能会将其视为网络安全风险问题或您计划应用风险分析的问题。在使用特定的网络安全风险评估工具之前，重要的是要考虑挑战的范围和性质。了解这些关键特征将帮助您决定在步骤 4中采取的适当方法或方法组合。
注意事项：

挑战有多复杂？这是一个标准的、定义明确且易于理解的挑战吗？您能否应用已知的解决方案来有效应对您的挑战？如果是这样的话，是否还需要进行进一步的评估或分析？它是否新颖或复杂，可能需要不同的方法？
挑战是在设计上，还是在操作上？如果是设计方面的，您的开发实践和节奏是什么（例如瀑布式或敏捷式）？
网络安全风险是否会对其他风险领域产生重大影响？例如，对于网络物理系统，是否需要将网络安全风险评估与安全风险评估结合起来？
是否有一些因素可能超出您的直接控制范围，但仍然是您风险状况的一部分，例如您的供应链、第三方或云服务的使用？您在多大程度上可以依赖他们的潜在风险评估？您需要做什么来履行您的职责？
您是否处于高度威胁的环境中？是否存在与您的组织相关并会影响您对威胁环境的理解的情况？例如，您是政府供应商吗？您即将推出新产品，或者您最近在媒体上的曝光度更高吗？在考虑您的威胁环境时，这些因素可能是相关的。
会不会出现频率低但影响大的事件？哪些时间范围与您的网络安全风险管理相关？在短期内，您可能对自己的风险有更大的确定性，但从长远来看，您可能需要应对与您的系统和更广泛的环境相关的更大程度的不确定性。
您是否受到所使用的某些技术的限制，例如运营技术 (OT)、ICS/SCADA 或旧产品？

第 4 步 - 选择方法网络风险管理工具箱中有许多途径、方法和工具可用于帮助评估和管理网络安全风险。没有一种方法适合所有情况，也没有一种工具可以解决所有问题。每个都有自己的优点和缺点，具体取决于您评估的内容。因此，您选择的方法应根据您已识别的风险挑战的关键特征进行定制。在您自己的功能工具箱中混合使用多种方法是值得的，以便您可以为您的特定风险挑战选择最合适的工具。
您的方法还可能受到业务限制的影响，例如可用的财务和资源，以及在内部和与其他风险领域或在外部与业务合作伙伴或监管机构保持一致性的需要。我们的网络风险管理工具箱中描述的一些技术是免费的并且相对易于使用，而其他技术可能需要订阅、广泛的培训和支持治理结构。
注意事项：

您在第 3 步中确定的关键特征是否会引导您使用特定的工具或技术？
您当前的方法或基线是否满足您的风险挑战的需求？
选择工具时需要考虑哪些限制？
您选择的方法是否可以帮助您了解需要保护的内容以及如何保护？如果没有，您还需要什么其他方法？
您是否具备使用特定工具、方法、技巧或途径的正确技能？或者您需要引入专业资源来帮助您？
您选择的方法（在语言、流程和输出方面）与您组织中用于风险管理的其他方法的契合程度如何？

第 5 步 - 了解风险以及如何管理风险此步骤是关于使用网络风险管理工具箱方法、技术和工具来识别和评估网络安全风险，以便您可以优先考虑它们，并就如何实际管理它们做出决策。设法管理您发现的所有网络安全风险非常重要。对于那些刚接触网络风险管理并且不知道从哪里开始的人，还提供了基本的风险评估，但您应该注意，这种基本方法附带了一些严重的健康警告。
此步骤将涉及风险分析和优先级排序，以及就如何管理风险做出决策。您可以选择通过以下方式管理网络安全风险：
避免它这意味着不继续或停止导致存在风险的活动。这有时被称为“终止”风险。
接受它这意味着做出明智的决定，不采取任何措施（或进一步采取任何措施）来治疗、减轻、修改或降低已识别的风险（无论是作为原始的未经处理的风险，还是作为进行某些治疗后仍然存在的残留风险）。接受风险意味着，如果风险发生，您将不得不承受由此产生的影响和后果。之所以做出这些决定，是因为处理风险的成本可能超过可能实现的任何影响的成本，或者因为在组织为了追求其目标和优先事项而愿意承担风险的情况下，风险是可以容忍的。这有时被称为“容忍”或“保留”风险。