网络安全风险管理框架( 三 ) _框架

转移它这意味着将风险的影响或后果转移给其他人（例如通过保险）。这有时可以称为“分担风险” 。
治疗它这涉及技术和非技术控制的实施、管理和维护，旨在降低网络安全风险发生的可能性，或减少发生网络安全风险时的影响（目的是使网络安全风险在组织的风险偏好范围内可接受或可容忍）。这有时可以称为采取行动“修改”、“减轻”或“降低”风险。
如果您选择通过使用技术或非技术控制措施来处理已识别的风险，那么您和组织内承担网络安全风险的人员必须确信这些控制措施将按照您的预期发挥作用，并且它们将在您所使用的系统或服务的整个生命周期中继续发挥作用，这一点非常重要。这种信心被称为“安全保证”、“技术保证”或简称“保证” 。
当您向决策者提出建议时，您需要描述和沟通如何获得保证（并维护您推荐的控制措施）。
不可能完全消除或治疗所有风险。当您使用控制措施处理网络安全风险时，总会留下一个或多个风险，这些风险被称为“残留风险” 。这些残余风险本身也需要进行管理。
进行的风险分析的数量需要与您面临的风险挑战相称，如果您的方法没有为您提供帮助您识别和管理网络安全风险的信息，那么您应该停下来考虑一下您是否做得足够，或者是否需要尝试其他方法来获取更多信息。
您提出的网络安全风险管理建议应在正确的时间以正确的格式交付给适当的决策者。在所有情况下，您评估的风险和提出的建议都应该可以追溯到企业正在做什么和关心什么。您的建议应该是可行的并且符合决策者的限制，但他们也应该清楚他们将继续承担哪些风险，换句话说，如果他们接受您的建议，将会留下哪些剩余风险。您所做的这些以及其他分析和决定应适当记录以保持可追溯性。这些文件可能包括：

风险登记册：向决策者和其他利益相关者传达已识别的风险并确定其优先顺序
网络安全风险管理计划：该计划规定了如何管理网络安全风险，并描述了为处理已识别风险而将实施的控制措施
保证计划：它规定了如何在系统或服务的整个生命周期中获得和维护用于处理已识别风险的控制保证
剩余风险声明：这为决策者确定了处理已识别风险后遗留的风险，以便他们能够就如何管理这些风险做出明智的决定

您应该能够证明并捍卫您的建议。您提出的任何主张或您提供的信息都应该有充分的论据和证据支持。您应该了解，控制措施只有在解决已识别的风险时才有用。如果您的技术不允许您做到这一点，那么您应该考虑采取替代方法。
注意事项：

最有效地利用不同来源的数据和信息。
定量信息和方法可能有助于开展成本效益分析，为有关潜在控制措施的决策提供信息。
意识到“高”、“中”或“低”等陈述和标签的效用有限，而不将它们设置在有意义的技术和/或业务背景中。你对high的理解可能和你的观众不一样。
请注意无意识偏见的潜在影响，这可能会扭曲您分析所依据的某些输入。

第 6 步 - 沟通和咨询下一步是将您的发现和建议传达给企业内适当的决策者或决策者群体。您的沟通必须有意义，并且在详细程度和使用的格式方面适合受众。例如，如果您需要或选择使用标准标签，例如高、中和低，请确保您已向应用这些标签的人和将根据这些标签做出决策的人清楚地表达了它们的含义。需要有效的双向沟通（面对面和书面）来建立所有利益相关方的信誉并做出有效的决策。使用不适合受众或上下文的过于技术性和网络安全术语可能会导致沟通不畅和混乱。
注意事项：