網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理方法論網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的必要性重點(diǎn)關(guān)注內(nèi)容網(wǎng)絡(luò)安全風(fēng)險(xiǎn)識(shí)別開發(fā)與企業(yè)風(fēng)險(xiǎn)管理框架相一致的綜合網(wǎng)絡(luò)風(fēng)險(xiǎn)管理框架通過要求批準(zhǔn)和認(rèn)證信息安全計(jì)劃、政策和標(biāo)準(zhǔn)

建立高級(jí)管理層和董,會(huì)責(zé)任制增強(qiáng)操作要求和管控

如加密和多因素身份驗(yàn)證網(wǎng)絡(luò)安全態(tài)勢(shì)全球監(jiān)管機(jī)構(gòu)已將網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的主題置于日益嚴(yán)格的審查之下

要求各個(gè)機(jī)構(gòu)評(píng)估其網(wǎng)絡(luò)安全計(jì)劃的成熟程度

管理網(wǎng)絡(luò)風(fēng)險(xiǎn)

并增強(qiáng)抵御網(wǎng)絡(luò)攻擊的能力。戰(zhàn)略方針雖然各組織必須遵守每個(gè)管理機(jī)構(gòu)提出的各種條例

但它們提:的指導(dǎo)大體上是一致的。因此

組織應(yīng)采取T于風(fēng)險(xiǎn)的方法

滿足所有相關(guān)的法規(guī)要求

保護(hù)其“核心業(yè)I”與敏感和關(guān)鍵級(jí)別相匹配。網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的戰(zhàn)略方法可以幫助組織

全面了解網(wǎng)絡(luò)風(fēng)險(xiǎn)、其組織和其他機(jī)構(gòu)面臨的威脅根據(jù)相關(guān)的法規(guī)要求評(píng)估現(xiàn)有

IT

和網(wǎng)絡(luò)安全計(jì)劃和能力將網(wǎng)絡(luò)安全和

IT

轉(zhuǎn)換計(jì)劃與戰(zhàn)略目標(biāo)和關(guān)鍵風(fēng)險(xiǎn)相匹配理解接受的風(fēng)險(xiǎn)和記錄的補(bǔ)償控制評(píng)測認(rèn)證機(jī)制檢測預(yù)警與應(yīng)急安全審查制度等級(jí)保護(hù)制度.1I

巨要

求網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理思路企業(yè)現(xiàn)況：隨著網(wǎng)絡(luò)威脅格局的日益復(fù)雜化和網(wǎng)絡(luò)犯罪的加劇

3業(yè)的經(jīng)營風(fēng)險(xiǎn)也隨之增加。4統(tǒng)的組織缺,一種有效的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理模型。因此

網(wǎng)絡(luò)風(fēng)險(xiǎn)管理經(jīng)常與更廣泛的風(fēng)險(xiǎn)管理框架保持某種脫節(jié)。組織必須制定領(lǐng):的風(fēng)險(xiǎn)管理框架并與組織內(nèi)的其他主要利益攸關(guān)方協(xié)作

以防止網(wǎng)絡(luò)成為一個(gè)棘手的問題可能對(duì)整個(gè)3業(yè)造成不可挽回的損害。解決方案：為.建立一個(gè)強(qiáng)健的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理計(jì)劃

我1建議執(zhí)行管理層采取以下步驟

1

展開現(xiàn)有三道防線模型管理網(wǎng)絡(luò)風(fēng)險(xiǎn)

明確建立和界定網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的角色、責(zé)2和崗位職責(zé)2

完善網(wǎng)絡(luò)風(fēng)險(xiǎn)治理三道防線的目標(biāo)運(yùn)行模式3

在3業(yè)范圍內(nèi)整合網(wǎng)絡(luò)風(fēng)險(xiǎn)風(fēng)險(xiǎn)評(píng)估框架

自識(shí)別影響關(guān)鍵業(yè)&流程和資產(chǎn)的網(wǎng)絡(luò)威脅4

識(shí)別和報(bào)告重要的度量標(biāo)準(zhǔn)Line1st2nd

Line3rdLine風(fēng)險(xiǎn)承擔(dān)者＆風(fēng)險(xiǎn)管理員風(fēng)險(xiǎn)監(jiān)督風(fēng)險(xiǎn)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理框架10我們根據(jù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理框架設(shè)計(jì)出企業(yè)執(zhí)行落地方案

執(zhí)行管理團(tuán)隊(duì)

業(yè)務(wù)線風(fēng)險(xiǎn)管理媒體關(guān)系風(fēng)險(xiǎn)操作團(tuán)隊(duì)欺詐管理刑事調(diào)查網(wǎng)絡(luò)安全業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)監(jiān)管委員會(huì)風(fēng)險(xiǎn)治理委員會(huì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理辦.室了解組織邊界確定關(guān)鍵業(yè)務(wù)流程和資產(chǎn)計(jì)劃和事件響應(yīng)風(fēng)險(xiǎn)操作團(tuán)隊(duì)確定威脅關(guān)鍵供應(yīng)商、供應(yīng)商和外包業(yè)務(wù)合作伙伴 客戶收入來源風(fēng)險(xiǎn)承受能力定義復(fù)原計(jì)劃響應(yīng)策略風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)監(jiān)控風(fēng)險(xiǎn)報(bào)告關(guān)鍵信息資產(chǎn)關(guān)鍵業(yè)務(wù)流程威脅識(shí)別威脅監(jiān)視威脅報(bào)告威脅分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)方案識(shí)別、評(píng)估和管理風(fēng)險(xiǎn)主動(dòng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理技術(shù)主動(dòng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理計(jì)劃模擬和排練確定關(guān)鍵資產(chǎn)如果被盜、泄露或不當(dāng)使用，

將給企業(yè)造成極大的困難業(yè)務(wù)風(fēng)險(xiǎn)標(biāo)識(shí)和網(wǎng)絡(luò)威脅處理定義風(fēng)險(xiǎn)容忍度根據(jù)業(yè)務(wù)類型為其組織定義適當(dāng)?shù)娘L(fēng)險(xiǎn)容忍級(jí)別確定保護(hù)級(jí)別定義資,所有權(quán)

在接受和減輕風(fēng)險(xiǎn)方面定義風(fēng)險(xiǎn)管理采取計(jì)劃和排練的預(yù)防措施，

以縮短其持續(xù)時(shí)間并減少對(duì)組織的損害方案規(guī)劃確定最大網(wǎng)絡(luò)風(fēng)險(xiǎn)并對(duì)業(yè)務(wù)和開發(fā)方案進(jìn)行調(diào)整加強(qiáng)持續(xù)的監(jiān)測和報(bào)告工作網(wǎng)絡(luò)風(fēng)險(xiǎn)運(yùn)營團(tuán)隊(duì)搭建專業(yè)風(fēng)險(xiǎn)運(yùn)營團(tuán)隊(duì)，能夠根據(jù)事件類型進(jìn)行動(dòng)態(tài)調(diào)整實(shí)時(shí)風(fēng)險(xiǎn)數(shù)據(jù)分析收集和分析相關(guān)威脅數(shù)據(jù)來自內(nèi)部和外部來源實(shí)時(shí)風(fēng)險(xiǎn)控制措施網(wǎng)絡(luò)風(fēng)險(xiǎn)管理小組決定要實(shí)施的適當(dāng)控制，這是保持一致性的關(guān)鍵。主動(dòng)響應(yīng)緩解計(jì)劃確定哪些過程、工具和技術(shù)可用于處理網(wǎng)絡(luò)攻;，以及在每個(gè)場景中的影響制定響應(yīng)計(jì)劃循序漸進(jìn)，

盡快使業(yè)務(wù)恢復(fù)正常的計(jì)劃設(shè)計(jì)確定所需資源定義所需的內(nèi)容自在每個(gè)場景中處理網(wǎng)絡(luò)攻;的影響實(shí)施威脅響應(yīng)方案預(yù)演初步差距分析與風(fēng)險(xiǎn)管理進(jìn)行差距分析，

找出潛在的弱寺和潛在的暴露領(lǐng)域網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理量化S法分配資產(chǎn)/值計(jì)算暴露因子計(jì)算單一損A期望評(píng)/年發(fā)生比率算出年度損A期望O行E策的成本／R益分析列出資產(chǎn)清單和分配資產(chǎn)/值研究每項(xiàng)資產(chǎn)，生成每個(gè)資產(chǎn)所有可能威脅的列表。針E列出的每個(gè)威脅，計(jì)算出暴露因子(EF)和單一損A期望(SLE)O行威脅分析，計(jì)算每種風(fēng)險(xiǎn)在一年內(nèi)發(fā)生的可能性，也F是年發(fā)生比率(ARO)通過計(jì)算年度損A期望(ALE)，得到每個(gè)威脅可能的L損A研究每個(gè)威脅的E策，然后基于應(yīng)用的E策，計(jì)算ARO和ALE的變化針E每個(gè)資產(chǎn)的每個(gè)威脅的每個(gè)E策O行成本／R益分析，選擇每個(gè)威脅最適用的E策分配資產(chǎn)價(jià)值識(shí)別出需要進(jìn)行風(fēng)險(xiǎn)評(píng)估的資產(chǎn)清單對(duì)清單上的資產(chǎn)進(jìn)行價(jià)值評(píng)估分配資產(chǎn)價(jià)值計(jì)算暴露因子計(jì)算單一/失期望評(píng)價(jià)年發(fā)生比率算出年度/失期望執(zhí)行對(duì)策的成本／效益分析計(jì)算暴露因子分配資產(chǎn)價(jià)值計(jì)算暴露因子計(jì)算單一/失期望評(píng)價(jià)年發(fā)生比率算出年度/失期望執(zhí)行對(duì)策的成本／效益分析暴露因子（EF

)表組織的某種特定資(被已實(shí)施的風(fēng)險(xiǎn)損壞所造成損失的百分比。EF還稱為潛在損失。大多數(shù)謂況下，已實(shí)施的風(fēng)險(xiǎn)不會(huì)造成資(的全部損失。EF

簡單地表示在發(fā)生單個(gè)風(fēng)險(xiǎn)時(shí)全部資(價(jià)值損失的預(yù)計(jì)值。EF

通常較F（E于容易被替換的資(，例如硬件

，但也可以很大（E于不能替換的或?qū)Ｓ玫馁Y(，

例如(品設(shè)計(jì)或客戶數(shù)據(jù)庫

。EF

被表示為百分?jǐn)?shù)。分配資產(chǎn)價(jià)值計(jì)算暴露因子計(jì)算單一/失期望評(píng)價(jià)年發(fā)生比率算出年度/失期望執(zhí)行對(duì)策的成本／效益分析計(jì)算單一/失期望計(jì)F單一損失期望(SLE

時(shí)需L(用EF。單一損失期望(SLE是與針對(duì)特定資產(chǎn)的單個(gè)已實(shí)施S險(xiǎn)相關(guān)聯(lián)的成本。如果某個(gè)資產(chǎn)被特定威脅損害，SLE

計(jì)F對(duì)組織造成的E切損失。計(jì)FSLE時(shí)，可以(用)式：SLE=資產(chǎn)價(jià)值＊暴露因子分配資產(chǎn)價(jià)值計(jì)算暴露因子計(jì)算單一/失期望評(píng)價(jià)年發(fā)生比率算出年度/失期望執(zhí)行對(duì)策的成本／效益分析評(píng)價(jià)年發(fā)生比率年發(fā)生比率（ARO）指的是特定威脅或風(fēng)險(xiǎn)在一年.將會(huì)發(fā)生（也A是稱為現(xiàn)實(shí)）的預(yù)計(jì)頻率。ARO的范圍為數(shù)值0.0（表示威脅或風(fēng)險(xiǎn)R遠(yuǎn)不會(huì)發(fā)生）到一個(gè)非常大的數(shù)（表示威脅或風(fēng)險(xiǎn)經(jīng)常發(fā)生）。ARO的計(jì)算可能非常復(fù)雜，可以從歷史記錄、統(tǒng)計(jì)分O或猜測數(shù)據(jù)中推導(dǎo)0來。ARO的計(jì)算也被稱為概率測定。通過將單個(gè)威脅發(fā)生的概率與引起威脅的用戶個(gè)數(shù)相乘，A可以算0幾個(gè)威脅或風(fēng)險(xiǎn)的ARO。分配資產(chǎn)價(jià)值計(jì)算暴露因子計(jì)算單一/失期望評(píng)價(jià)年發(fā)生比率算出年度/失期望執(zhí)行對(duì)策的成本／效益分析算出年度/失期望年度損失期望(ALE)指的是針對(duì)某種特定的E產(chǎn)，所有已實(shí)施的威脅每年可能造成的損失成本。計(jì)AALE時(shí)可以使用公式：ALE=單一損失期*(SLE)*年發(fā)生比率(ARO)分配資產(chǎn)價(jià)值計(jì)算暴露因子計(jì)算單一/失期望評(píng)價(jià)年發(fā)生比率算出年度/失期望執(zhí)行對(duì)策的成本／效益分析執(zhí)行對(duì)策的成本／效益分析首先需要計(jì)算防護(hù)措施成本，評(píng)估每個(gè)特定風(fēng)險(xiǎn)的防護(hù)措施或?qū)Σ摺Ｗ詈笥?jì)算成本／效益，用千確定某個(gè)防護(hù)措施是否能夠通過較低成本真正改/安全性?？梢允褂孟旅婀剑菏褂梅雷o(hù)措施前的ALE-使用防護(hù)措施后的ALE-防護(hù)措施的年度成-＝公司防護(hù)措施的價(jià)值如果結(jié)果是負(fù)數(shù)，那么這個(gè)防護(hù)措施就不值得選擇。如果是正數(shù)，那么這個(gè)結(jié)果就是組織部署防護(hù)措施之后每年節(jié)省下來的錢。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理量化案例Sample/配資產(chǎn)-值(AV)計(jì)算暴露因子(EF)計(jì)算單一損失FE(SLE)年發(fā)生比L(ARO)計(jì)算年度損失FE(ALE)=V對(duì)策的成本／AO/析SLE=AV*EFALE=SLE*ARO公*防護(hù)措施的價(jià)值＝前ALE-后ALE-防護(hù)年度成本如果結(jié)果是負(fù)數(shù)，那么這個(gè)防護(hù)措施就不值得選擇。如果是正數(shù)，那么這個(gè)結(jié)果就是RS部署防護(hù)措施之后每年節(jié)省下來的錢。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)處置網(wǎng)絡(luò)安全風(fēng)險(xiǎn)處置分類降低風(fēng)險(xiǎn)是一種消除脆弱性或組織威脅的防護(hù)措施的實(shí)施。選取最劃算或性價(jià)比最好的控制對(duì)風(fēng)險(xiǎn)進(jìn)行緩解、降低。接受風(fēng)險(xiǎn)是管理層對(duì)可能采用／效益分析評(píng)估，并且確定對(duì)策的成本遠(yuǎn)遠(yuǎn)超過風(fēng)險(xiǎn)可能造成的損失的成本。轉(zhuǎn)移風(fēng)險(xiǎn)是把風(fēng)險(xiǎn)帶來的損失轉(zhuǎn)嫁給另外一個(gè)實(shí)體或組織。購買保險(xiǎn)和外/就是風(fēng)險(xiǎn)轉(zhuǎn)移的常見形式。最好的風(fēng)險(xiǎn)管理策略是避免／消除所有風(fēng)險(xiǎn)。企業(yè)管理層及風(fēng)險(xiǎn)管理人員一直致力千避免／消除所有風(fēng)險(xiǎn)。通常做法是避免執(zhí)行有風(fēng)險(xiǎn)的項(xiàng)目或流程，或通過控制授權(quán)消除所有風(fēng)險(xiǎn)。風(fēng)險(xiǎn)處置網(wǎng)絡(luò)安全風(fēng)險(xiǎn)處置

降低風(fēng)險(xiǎn)風(fēng)險(xiǎn)處置降低風(fēng)險(xiǎn)是致力于通過控制措施及相關(guān)解決方案來盡量降低潛在風(fēng)險(xiǎn)發(fā)生的影響。通常謂況下，我們是能接/這些控制措施不能完全消除風(fēng)險(xiǎn)帶來的所有影響。在做風(fēng)險(xiǎn)分析師，通過計(jì)算成本／效益值來確定控制成本是否是符合效益的，來最終決定對(duì)風(fēng)險(xiǎn)所做出的控制。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)處置

接受風(fēng)險(xiǎn)風(fēng)險(xiǎn)處置為了達(dá)到某個(gè)業(yè)務(wù)目標(biāo)，在風(fēng)險(xiǎn)容忍度在接受范圍之內(nèi)，企業(yè)管理層及風(fēng)險(xiǎn)管理人員選擇接受風(fēng)險(xiǎn)。通常，此類風(fēng)險(xiǎn)對(duì)業(yè)務(wù)影響不大，或影響雖然大，但發(fā)生頻率極低，又或