硬核“安全運營風險管理”究竟該怎么做?
發布時間 2020-09-11什么是風險管理?
“風險”一詞由來已久。話說在遠古時期,漁民在長期的捕撈實踐中,深深體會到“風”給他們帶來的無法預測且無法確定的危險,“風”即意味著“險”,因此有了“風險”一詞。如今,“風險”一詞是代表發生不幸事件的概率,是指一個事件產生我們所不希望的后果的可能性,也指可能發生的危險。
而風險管理是在一個肯定有風險的環境里,把風險可能造成的不良影響減至最低的管理過程。
風險管理的思路有哪些?
在網絡安全領域,一種風險管理是以ISO13335為主要參考方法?!百Y產”、“威脅”、“脆弱性”等是我們常常在風險評估、風險管理時需關注的核心要素。以資產為核心的風險管理方法,對于網絡安全來說,具備非常明確的目標導向性,并且具備成熟的參考標準,通用性強,但也具有一定的局限性。而對于用戶來說,基于資產的風險管理與業務場景契合度低,不能清楚了解到對于自身真實的風險影響,實際的風險評估結果可能與實際業務影響有較大出入。
ISO13335風險管理關系模型
另一種風險管理的方法來源于傳統的企業風險管理,以業務為核心,通過業務核心價值鏈為出發點,關注業務流程,發現業務風險,再進行業務風險管控和風險評估,將風險與業務牢牢綁定,實現業務風險控制。以業務為核心的風險管理方法,契合用戶業務,能夠將風險管理形成體系化的方法,但是在網絡安全層面,缺乏對應的視角和手段,難以匹配以業務為核心的風險管理理念。
安全運營風險管理怎么做?啟明星辰來支招
安全運營的風險管理需要結合以上兩類風險管理方法,取長補短,在業務風險識別之時,將業務風險中信息安全相關場景識別出來,進行相應的風險管理策略制定和風險管理措施的實施。依照以核心業務價值鏈為出發點,關注業務流程,識別業務風險,尤其是識別其中的安全風險,進行安全策略制定,實施安全管控進行安全落地實踐的方式,進行以業務風險管控為核心的安全運營風險管理實踐,并形成信息安全治理思路。
信息安全治理
業務風險與安全風險之間通過安全威脅(安全事件、漏洞、脆弱性等)對業務的影響和可能造成的損失進行銜接分析,確保安全與業務的契合。同時基于目前安全技術實現能力,持續進行自適應風險與信任評估。
啟明星辰安全運營的風險管理能力參考了《COSO風險管理整合框架》并結合網絡安全實際情況,需要以下步驟完成輸出:
1、目標設定:必須先有目標業務及業務的重要程度,才能識別影響目標實現的潛在事項;
2、事項識別:在網絡安全風險管理之中,一般事項包括業務的CIA三要素:機密性、完整性、可用性等,并對三要素進行一定的賦權;
3、風險評估:依照目標和事項識別,對網絡安全風險進行識別。通過考慮風險的可能性和影響來對其加以分析,并以此作為決定如何進行管理的依據;
4、制定策略:安全運營中心對整體的風險管理制定相應的模型和策略,并依照模型和策略選擇風險應對——回避、承受、降低或者分擔風險;
5、控制風險:執行相應的政策與程序以幫助確保風險應對得以有效實施;
6、信息溝通:根據網絡安全風險對業務的影響,安全運營中心充分與相關管理者、業務經理、信息化管理者進行有效溝通和傳遞,確保風險的有效控制;
7、監控趨勢:對網絡安全風險進行全面監控,必要時加以修正,并將安全事件、脆弱性、漏洞等內容與網絡安全風險等級做明確劃分,確定這些威脅所帶來的影響并做好風險管理。
安全運營風險管理的三個必備條件
如何確保安全運營中心的風險管理能力得到有效保障呢?需具備以下三個條件。
首先,需要具備風險的頂層設計,明確風險與業務的關系,設置適配業務的安全風險模型,并制定風險等級及與之適配的風險管理策略;
然后,需能夠做到風險的全面發現,在網絡安全層面主要表現為對安全威脅的發現,如安全事件、脆弱性、漏洞等內容,并具備安全威脅的篩選和分析研判的能力,能夠為風險管理提供有效的數據基礎。
最后,需要技術與管理雙管齊下。網絡安全威脅大部分來源于內部人員,因此除技術部分的風險管理外,還需做好管理部分的內容:人員意識培訓、管理制度的制定與實施、業務層面應對風險的應急事項等動作的確定。
作為信息安全的長效治理手段,安全運營其核心理念就是進行業務安全風險管控。因此,掌握風險管理能力,并做好風險管理,是安全運營有別于其他安全建設方法的核心特點與關鍵要素。
啟明星辰安全運營風險管理以核心業務價值鏈為出發點,構建以業務風險管控為核心的安全運營風險管理實踐,扎緊安全運營風險管理的籬笆,幫助用戶打造安全可靠的防護體系,為企業的數字化高質量發展保駕護航,共同攜手開啟未來全面數字化新征程。