这里的目的是确保网络安全从一开始就已包含在您正在处理的系统或服务中,并且在设计上是安全的 。作为风险从业者,您可能不直接对此活动负责 。因此,确保负责实施的人员了解他们正在解决的风险以及您为管理这些风险而提出的建议非常重要 。这涉及这些控制的“整个生命周期”管理以及剩余风险的管理 。通常很容易仓促或忽视这一步,但您应该像在框架中的早期步骤中投入一样多的时间和精力来进行这些活动 。
我们今天用于商业和个人用途的系统本质上是社会技术的,这意味着它们涉及人员、技术和业务流程 。这些系统的交付和维护还可能涉及复杂的供应链 。网络安全风险可能会影响所有这些因素,因此您需要确保在所有这些方面都根据需要适当且有效地实施了网络安全控制 。
网络安全控制和措施应分层应用于系统 。这种方法有时被称为“深度防御”,即单个控制或措施的失败或妥协不会导致攻击者立即完全访问我们关心的内容 。为此,他们需要克服或妥协不止一种控制或措施 。
在某些情况下,例如在使用云服务时,实施网络安全控制的责任可能与第三方服务提供商共同承担 。您应该注意,虽然实施控制的责任可能与第三方共同承担,但风险(及其管理方式)的责任和义务仍然由您和您的组织承担 。
无论您是安全控制和措施、将安全应用到您的供应链,还是与第三方供应商定义共享安全模型,您和组织内的风险负责人都应该寻求信心(或保证),您正在使用的控制和措施将按照您的预期发挥作用(并且只要您需要它们,它们就会继续这样做) 。
例如:
- 您可以要求使用、管理和维护您的系统和服务的人员接受安全完成工作所需的培训和技能,从而向他们寻求保证
- 您可以通过以下方式寻求对所使用的技术和流程的保证:例如,确保它们在设计和构建时考虑到安全性、根据标准独立评估它们、在部署之前和运行过程中对其进行安全测试,以及监控和审核它们的使用方式
良好的网络安全风险管理是一项持续的活动,因此您不能永远依赖实施决策 。您需要不断考虑您现有的网络安全控制和保障安排在您面临的网络安全威胁和风险的背景下是否仍然具有相关性 。
注意事项:
- 考虑潜在控制措施的财务和资源影响以及它们是否符合 PACE 原则(务实、适当和成本效益) 。它们还应该符合您的风险偏好、业务目标和规定的风险 。
- 适当使用风险管理选项的组合(即并非所有风险都需要通过控制来管理,而是可以避免、转移或接受它们) 。
- 寻求实现纵深防御并使用一系列控制措施来解决人员、业务流程、物理和技术问题;避免只关注技术,而要把人放在思考的核心位置 。
- 考虑如何充分利用现有的现有控制措施,并充分利用产品、系统和服务内置的安全功能(但默认情况下可能未启用,或者可以轻松调整它们以解决已识别的相关风险) 。
- 确保您首先管理最高优先级的风险 。
- 采用共同基准将帮助您防御最常见的威胁 。您可以参考通用的控制集或框架,但不要盲目遵循这些控制,仅选择与您的威胁模型和风险相关的控制 。您可能还需要通过实施定制或有针对性的控制措施来调整或增强共同基准,以管理您的设置或环境所特有的网络安全风险 。
- 考虑将保障模型构建到设计、操作和维护技术系统和服务的流程中,以提供对网络安全风险管理方式的信心 。
推荐阅读
- 邪恶版 ChatGPT“WormGPT”悄然兴起,引发网络安全担忧
- 砖混结构与框架结构的区别有哪些 砖混结构与框架结构的区别
- 并行计算框架Polars、Dask的数据处理性能对比
- 网络安全测试的七种主要类型
- 2023年流行的五大JavaScript框架
- 框架梁钢筋标注详解 框架梁
- 框架结构柱距9米 框架结构柱距
- 议论文框架结构怎么写好
- 无线网络常见安全威胁
- 谷歌公开自家「AI+软件工程」框架DIDACT:数千名开发者内部测试,用了都说生产力高
