硬核“安全运营风险管理”究竟该怎么做?
发布时间 2020-09-11什么是风险管理?
“风险”一词由来已久。话说在远古时期,渔民在长期的捕捞实践中,深深体会到“风”给他们带来的无法预测且无法确定的危险,“风”即意味着“险”,因此有了“风险”一词。如今,“风险”一词是代表发生不幸事件的概率,是指一个事件产生我们所不希望的后果的可能性,也指可能发生的危险。
而风险管理是在一个肯定有风险的环境里,把风险可能造成的不良影响减至最低的管理过程。
风险管理的思路有哪些?
在网络安全领域,一种风险管理是以ISO13335为主要参考方法。“资产”、“威胁”、“脆弱性”等是我们常常在风险评估、风险管理时需关注的核心要素。以资产为核心的风险管理方法,对于网络安全来说,具备非常明确的目标导向性,并且具备成熟的参考标准,通用性强,但也具有一定的局限性。而对于用户来说,基于资产的风险管理与业务场景契合度低,不能清楚了解到对于自身真实的风险影响,实际的风险评估结果可能与实际业务影响有较大出入。
ISO13335风险管理关系模型
另一种风险管理的方法来源于传统的企业风险管理,以业务为核心,通过业务核心价值链为出发点,关注业务流程,发现业务风险,再进行业务风险管控和风险评估,将风险与业务牢牢绑定,实现业务风险控制。以业务为核心的风险管理方法,契合用户业务,能够将风险管理形成体系化的方法,但是在网络安全层面,缺乏对应的视角和手段,难以匹配以业务为核心的风险管理理念。
安全运营风险管理怎么做?启明星辰来支招
安全运营的风险管理需要结合以上两类风险管理方法,取长补短,在业务风险识别之时,将业务风险中信息安全相关场景识别出来,进行相应的风险管理策略制定和风险管理措施的实施。依照以核心业务价值链为出发点,关注业务流程,识别业务风险,尤其是识别其中的安全风险,进行安全策略制定,实施安全管控进行安全落地实践的方式,进行以业务风险管控为核心的安全运营风险管理实践,并形成信息安全治理思路。
信息安全治理
业务风险与安全风险之间通过安全威胁(安全事件、漏洞、脆弱性等)对业务的影响和可能造成的损失进行衔接分析,确保安全与业务的契合。同时基于目前安全技术实现能力,持续进行自适应风险与信任评估。
启明星辰安全运营的风险管理能力参考了《COSO风险管理整合框架》并结合网络安全实际情况,需要以下步骤完成输出:
1、目标设定:必须先有目标业务及业务的重要程度,才能识别影响目标实现的潜在事项;
2、事项识别:在网络安全风险管理之中,一般事项包括业务的CIA三要素:机密性、完整性、可用性等,并对三要素进行一定的赋权;
3、风险评估:依照目标和事项识别,对网络安全风险进行识别。通过考虑风险的可能性和影响来对其加以分析,并以此作为决定如何进行管理的依据;
4、制定策略:安全运营中心对整体的风险管理制定相应的模型和策略,并依照模型和策略选择风险应对——回避、承受、降低或者分担风险;
5、控制风险:执行相应的政策与程序以帮助确保风险应对得以有效实施;
6、信息沟通:根据网络安全风险对业务的影响,安全运营中心充分与相关管理者、业务经理、信息化管理者进行有效沟通和传递,确保风险的有效控制;
7、监控趋势:对网络安全风险进行全面监控,必要时加以修正,并将安全事件、脆弱性、漏洞等内容与网络安全风险等级做明确划分,确定这些威胁所带来的影响并做好风险管理。
安全运营风险管理的三个必备条件
如何确保安全运营中心的风险管理能力得到有效保障呢?需具备以下三个条件。
首先,需要具备风险的顶层设计,明确风险与业务的关系,设置适配业务的安全风险模型,并制定风险等级及与之适配的风险管理策略;
然后,需能够做到风险的全面发现,在网络安全层面主要表现为对安全威胁的发现,如安全事件、脆弱性、漏洞等内容,并具备安全威胁的筛选和分析研判的能力,能够为风险管理提供有效的数据基础。
最后,需要技术与管理双管齐下。网络安全威胁大部分来源于内部人员,因此除技术部分的风险管理外,还需做好管理部分的内容:人员意识培训、管理制度的制定与实施、业务层面应对风险的应急事项等动作的确定。
作为信息安全的长效治理手段,安全运营其核心理念就是进行业务安全风险管控。因此,掌握风险管理能力,并做好风险管理,是安全运营有别于其他安全建设方法的核心特点与关键要素。
启明星辰安全运营风险管理以核心业务价值链为出发点,构建以业务风险管控为核心的安全运营风险管理实践,扎紧安全运营风险管理的篱笆,帮助用户打造安全可靠的防护体系,为企业的数字化高质量发展保驾护航,共同携手开启未来全面数字化新征程。
京公网安备11010802024551号