如何制定安全風險管理計劃
問:我們公司第一次制定正式的安全風險管理計劃,您能提供一些安全風險管理計劃示例嗎,或者就安全風險管理計劃應包括哪些內容給我們提供一些建議嗎?
答:在制定企業安全風險管理計劃時,有許多資料可供參考。第一份應該參考的文檔是NIST(美國國家標準與技術研究所)特別出版物800-53 V3——《美國聯邦信息系統和組織安全控制建議(Recommended Security Controls for Federal Information Systems and Organizations)》。該標準的第三章給出了一個規范的流程圖(如圖1所示),可以為你們制定安全風險管理計劃和框架的關鍵流程提供有益的指導。
圖1
從本質上講,制定安全風險管理計劃的出發點是將“組織投入”和“體系結構描述”作為基本信息,幫助企業進行資產識別和分類。
例如,組織投入可能包括組織不應受到妨礙的核心業務、企業的主要客戶以及企業必須遵守的主要適用法律等。
體系結構描述包括企業使命/業務流程、系統體系結構以及需要保護的信息系統的邊界。
另一份值得參考的文檔是NIST特別出版物SP 800-39——《信息系統風險管理草案(DRAFT Managing Risk from Information Systems)》,該文檔提供了在信息系統和基礎設施中實行安全控制的組織的風險管理常規視圖。該文檔還提供了一個風險管理的高層次視圖,如圖2所示。
圖2
對制定風險管理計劃可能有所幫助的第三份文檔是《信息安全(Information Security)》雜志2009年6月發表的一篇開創性的文章——《如何制定融合業務和安全需求的風險管理方案(How to write a risk methodology that blends business, security needs)》,其作者是我的同事Cris Ewell。Cris在這篇文章中指出,制定風險管理計劃和流程時應注意以下要點:
“風險管理流程必須植根于安全性原則并與安全計劃整合,安全計劃包括業務需求、合理注意事項、當前攻擊向量以及符合法規要求和合同要求。遵守標準和法規的要求有助于表明合理注意,但不應成為安全計劃的推動力。風險管理不可能解決所有的威脅和脆弱性。在一個組織中,信息安全實踐的發展方向、評估指標和改進方法的推動力應該是降低剩余風險,而不是實行指令性控制。”
在這篇文章中,Cris還從戰略、戰術和業務三個方面介紹了如何構建風險管理框架,共涉及下列13個安全要素:
◆戰略類
1.組織和授權
◆戰術類
1.策略
2.審計與合規性
3.風險管理
4.隱私
5.突發事件管理
6.教育和培訓
◆業務類
2.業務管理
3.技術安全和訪問控制
4.監視、測量和報告
5.物理和環境安全
6.資產識別和分類
7.帳戶管理和外包
你可能還想從互聯網上查找其他的風險管理計劃資料。不過,需要指出的是,前面提到的NIST文檔和Cris的論文都是優秀的資源,而且可以免費獲得。
【編輯推薦】
