硬核“安全运营风险管理”究竟该怎么做?

发布时间 2020-09-11
提到“风险”二字,大家往往会想到损失发生的可能性。如今,信息化浪潮席卷各行各业,网络安全风险无处不在。网络安全、数据安全已成为企业数字化转型的刚需。风险管理作为网络安全运营的基本要求,不仅是安全运营三大核心能力之一(风险管理、实战演练、持续优化),也是面向用户环境、业务、资产等不同对象的必要能力输出。今天,就和大家一起探讨数字经济时代下硬核“安全运营风险管理”究竟该怎么做?


什么是风险管理?


“风险”一词由来已久。话说在远古时期,渔民在长期的捕捞实践中,深深体会到“风”给他们带来的无法预测且无法确定的危险,“风”即意味着“险”,因此有了“风险”一词。如今,“风险”一词是代表发生不幸事件的概率,是指一个事件产生大家所不希翼的后果的可能性,也指可能发生的危险。


而风险管理是在一个肯定有风险的环境里,把风险可能造成的不良影响减至最低的管理过程。


风险管理的思路有哪些?


在网络安全领域,一种风险管理是以ISO13335为主要参考方法。“资产”、“威胁”、“脆弱性”等是大家常常在风险评估、风险管理时需关注的核心要素。以资产为核心的风险管理方法,对于网络安全来说,具备非常明确的目标导向性,并且具备成熟的参考标准,通用性强,但也具有一定的局限性。而对于用户来说,基于资产的风险管理与业务场景契合度低,不能清楚了解到对于自身真实的风险影响,实际的风险评估结果可能与实际业务影响有较大出入。


1.png

ISO13335风险管理关系模型


另一种风险管理的方法来源于传统的企业风险管理,以业务为核心,通过业务核心价值链为出发点,关注业务流程,发现业务风险,再进行业务风险管控和风险评估,将风险与业务牢牢绑定,实现业务风险控制。以业务为核心的风险管理方法,契合用户业务,能够将风险管理形成体系化的方法,但是在网络安全层面,缺乏对应的视角和手段,难以匹配以业务为核心的风险管理理念。


安全运营风险管理怎么做?澳门新萄京官方网站来支招


安全运营的风险管理需要结合以上两类风险管理方法,取长补短,在业务风险识别之时,将业务风险中信息安全相关场景识别出来,进行相应的风险管理策略制定和风险管理措施的实施。依照以核心业务价值链为出发点,关注业务流程,识别业务风险,尤其是识别其中的安全风险,进行安全策略制定,实施安全管控进行安全落地实践的方式,进行以业务风险管控为核心的安全运营风险管理实践,并形成信息安全治理思路。


2.png

信息安全治理


业务风险与安全风险之间通过安全威胁(安全事件、漏洞、脆弱性等)对业务的影响和可能造成的损失进行衔接分析,确保安全与业务的契合。同时基于目前安全技术实现能力,持续进行自适应风险与信任评估。


澳门新萄京官方网站安全运营的风险管理能力参考了《COSO风险管理整合框架》并结合网络安全实际情况,需要以下步骤完成输出:


3.png


1、目标设定:必须先有目标业务及业务的重要程度,才能识别影响目标实现的潜在事项;

2、事项识别:在网络安全风险管理之中,一般事项包括业务的CIA三要素:机密性、完整性、可用性等,并对三要素进行一定的赋权;

3、风险评估:依照目标和事项识别,对网络安全风险进行识别。通过考虑风险的可能性和影响来对其加以分析,并以此作为决定如何进行管理的依据;

4、制定策略:澳门新萄京官方网站对整体的风险管理制定相应的模型和策略,并依照模型和策略选择风险应对——回避、承受、降低或者分担风险;

5、控制风险:实行相应的政策与程序以帮助确保风险应对得以有效实施;

6、信息沟通:根据网络安全风险对业务的影响,澳门新萄京官方网站充分与相关管理者、业务经理、信息化管理者进行有效沟通和传递,确保风险的有效控制;

7、监控趋势:对网络安全风险进行全面监控,必要时加以修正,并将安全事件、脆弱性、漏洞等内容与网络安全风险等级做明确划分,确定这些威胁所带来的影响并做好风险管理。


安全运营风险管理的三个必备条件


如何确保澳门新萄京官方网站的风险管理能力得到有效保障呢?需具备以下三个条件。


首先,需要具备风险的顶层设计,明确风险与业务的关系,设置适配业务的安全风险模型,并制定风险等级及与之适配的风险管理策略;


然后,需能够做到风险的全面发现,在网络安全层面主要表现为对安全威胁的发现,如安全事件、脆弱性、漏洞等内容,并具备安全威胁的筛选和分析研判的能力,能够为风险管理提供有效的数据基础。


最后,需要技术与管理双管齐下。网络安全威胁大部分来源于内部人员,因此除技术部分的风险管理外,还需做好管理部分的内容:人员意识培训、管理制度的制定与实施、业务层面应对风险的应急事项等动作的确定。


作为信息安全的长效治理手段,安全运营其核心理念就是进行业务安全风险管控。因此,掌握风险管理能力,并做好风险管理,是安全运营有别于其他安全建设方法的核心特点与关键要素。


澳门新萄京官方网站安全运营风险管理以核心业务价值链为出发点,构建以业务风险管控为核心的安全运营风险管理实践,扎紧安全运营风险管理的篱笆,帮助用户打造安全可靠的防护体系,为企业的数字化高质量发展保驾护航,共同携手开启未来全面数字化新征程。