网络安全风险管理框架( 五 ) _框架

检查您做出的有关接受或容忍网络安全风险的任何决策是否仍然安全，并且所有这些风险接受决策是否可以在组织或企业风险级别上被看到和理解，以便为更高级别的风险管理观点和决策提供信息。

定期审查您使用的网络安全控制措施，以确保它们保持有效并与您面临的风险相关。

第 8 步 - 监控和审查网络安全风险管理是一个持续的过程，您的方法需要定期审查和调整，以应对不断变化的威胁和风险形势。重要的是，不仅要监控和审查您所实施的控制措施的有效性和性能，还要监控和审查您的风险评估和网络安全风险管理方法本身。网络安全的设计应在系统或服务所支持的业务的整个生命周期内实施，而不仅仅是在交付系统或服务的项目/项目群的生命周期内实施。
【网络安全风险管理框架】注意事项：

定期审查您的网络安全风险管理整体方法，为您的组织提供持续的保证，确保其有效运营以满足业务需求，并确定可能需要改进的领域或可能需要在现有网络安全风险管理工具箱中添加额外和/或替代方法或技术的领域。
不要害怕回滚或撤销以前的风险处理决策：这是因为您在首次实施系统或服务时做出的处理决策今天可能不合适。
监控您的系统将使您能够观察其行为是否超出您定义的参数，例如遵守网络安全策略，并帮助您了解哪些地方可能需要额外的干预、措施或控制。通过这种方式，您可以将监控本身用作控制，例如使用保护监控和事务监控。
不断确认现有的控制措施在管理网络安全风险方面是适当且相称的。
制定指标和绩效指标来衡量控制的有效性
当事情发生重大变化时，重新审视您的风险评估和分析。这可能是当您面临的威胁发生变化时，或者当您更改用于交付和管理系统或服务的技术时，或者当您使用系统的方式发生重大变化时。
使用各种机制来监控和审查您的系统和服务，例如定期审查、渗透测试、安全审核、IT 运行状况检查和安全监控解决方案或您自己的日志记录。这些机制将帮助您识别网络安全事件，并提供有关您用于管理网络安全风险的措施和控制措施效果如何或其他方面的信息。