读数字时代的网络风险管理:策略、计划与执行04风险指引体系

读数字时代的网络风险管理:策略、计划与执行04风险指引体系

1. 风险指引体系

1.1. 数字化并不是CRMP要解决的问题

1.2. 数字化肯定会带来风险,其中许多风险在短短几年前是无法想象的,但它也带来了非凡的新商机

1.3. 企业用于做出风险管理决策的信息

1.4. 丰田

  • 1.4.1. 丰田首创了准时化生产技术(just-in-time production)​,这种技术可以准确地为客户提供所需的产品

  • 1.4.2. 不仅能带来经济效益,节省仓储和库存管理等方面的成本,还能快速、准确地交付定制订单

  • 1.4.3. 丰田公司将看板系统视为其业务模式的战略组成部分,实际上是关键基础设施

  • 1.4.4. 会通过安全控制、监控和事件响应能力来实施网络风险缓释措施,并很可能已经在某些方面确定了潜在威胁的可能性和影响

  • 1.4.5. 准时化生产所带来的回报几乎肯定远远超过此次袭击所造成的损失

    • 1.4.5.1. 如果负面影响大于收益,那就是错误的

  • 1.4.6. 风险状况可能而且确实在发生变化,有时变化非常突然,而状况的变化可能要求做出改变的决策

  • 1.4.7. 一个经过定义和批准的风险指引体系可以创建一个流程,其中包括对范围、节奏和报告等的定义,为参与风险决策的业务利益相关者提供信息

2. 风险信息

2.1. 企业高层决策者对风险失败负有责任,更重要的是,对未能了解风险负有责任

2.2. 如果没有一个有效的系统来获取、评估、报告和升级风险信息,那么所有角色都有可能承担严重的法律责任,包括民事责任和刑事责任

2.3. 如果不能建立一个系统化的流程,及时将风险信息传递给正确的人,就会带来一系列非常严重的风险(法律、监管、财务和声誉风险)​

2.4. 大多数承担风险管理职责的企业决策者都认为自己知道什么是风险,但除非他们使用系统化、经批准的正规流程进行风险判断,否则他们对风险的理解很可能是不完整、不一致的,甚至在很多情况下是错误的

2.5. 安全专业人员可能会从威胁、漏洞以及为解决这些问题而采取的控制措施或能力的角度来考虑风险:恶意的内部人员、未打补丁的软件漏洞以及数据保护

2.6. 风险=可能性×影响

  • 2.6.1. 风险=可能性(威胁利用漏洞的可能性)×影响(对企业流程、资产或目标的影响)

  • 2.6.2. 威胁利用漏洞的可能性很重要,因为企业面临的威胁和由此产生的残余弱点(漏洞)是无法计算的,更无法完全应对

2.7. 大多数企业都运行着复杂、异构的IT环境,许多企业发现越来越难以清楚地了解自己部署了哪些系统和应用程序

  • 2.7.1. 了解资产对于了解一旦受到攻击可能产生的影响以及潜在威胁是否有可能利用漏洞(弱点)至关重要

2.8. 威胁本身不是风险,威胁信息本身也不是风险信息

2.9. 明确的信息表明,对风险信息应采取全面的方法,而不是狭隘地关注单一的威胁或漏洞,这对现实世界的风险管理至关重要

3. 5个原则

3.1. 一套正式的、系统的、专门针对网络的实践方法,用于应对瞬息万变的风险环境带来的挑战和机遇

3.2. 原则1:定义风险评估框架和方法

  • 3.2.1. 必须定义并执行风险框架和方法,以在组织范围内识别、评估和衡量网络风险

  • 3.2.2. 安全组织是这项工作的核心,为治理机构和整个企业提供做出风险决策所需的信息,但它本身并不做出决策,也不对决策负责

  • 3.2.3. 安全组织的职责不是做出风险决策,而是引导企业完成风险引导决策过程

  • 3.2.4. 安全组织与其他组织部门合作提供的信息都应被视为网络风险指引体系的一部分,为治理机构和业务利益相关者提供教育和指导

    • 3.2.4.1. 企业风险信息、IT、操作技术(OT)​、物联网(IoT)资产的识别

    • 3.2.4.2. 威胁情报

    • 3.2.4.3. 已定义的企业风险偏好

    • 3.2.4.4. 业务优先级

    • 3.2.4.5. 未来业务战略

    • 3.2.4.6. 现有缓释措施和经验教训

  • 3.2.5. 风险信息和识别实践必须定期进行,并由决策者确定和批准,因为无法获得持续的风险信息本身就是一种风险

  • 3.2.6. 一个经过批准的框架和方法论将通过系统性手段收集数据,以确定可接受的风险水平、识别新出现的潜在风险、管理或缓释实际发生的风险,从而取代上述临时方法或被动方法

  • 3.2.7. 指标必须是恰当的指标—不是运营或合规指标,而是提供与业务环境相适配、可获取且具有行动导向信息的风险指标

  • 3.2.8. 最常见的挑战之一是,拥有太多的数据,或者是错误的数据类型,而且很难将这些数据与实际情况相结合,使其具有可操作性并与风险决策相关

  • 3.2.9. 另一个挑战是如何将数据转化为预期受众能够清楚理解的术语和语言,并达到预期目的

  • 3.2.10. 强化了一项原则,即企业需要一个确定的框架来应对复杂的网络风险,特别是在更广泛的业务战略和财务影响的背景下

3.3. 原则2:制订风险阈值确定方法

  • 3.3.1. 必须为可接受的风险阈值—偏好和容忍度—制订一套经批准的、可重复的方法

  • 3.3.2. 确定现状的风险水平

    • 3.3.2.1. 意味着要评估企业目前面临的风险以及现有风险缓释措施的有效性

  • 3.3.3. 确定并商定理想的未来状态风险水平

    • 3.3.3.1. 与治理机构合作制订未来可接受风险的定义,使企业有可能优先安排风险管理工作,以应对不断变化和新出现的风险

  • 3.3.4. 利用公认的未来状态风险水平,制订总体风险战略和执行模式

    • 3.3.4.1. 不仅因为它使企业的风险偏好和容忍度与其总体业务战略保持一致,还因为它使制订和维护适当的预算分配成为可能

  • 3.3.5. 监测风险战略的执行情况

    • 3.3.5.1. 必须是一个持续的过程,由治理机构监督,以确定其有效性,并确保企业保持在可接受的风险参数范围内

  • 3.3.6. 根据商定的节奏进行持续监测

    • 3.3.6.1. 采取合适的节奏对风险偏好和风险容忍度进行适当的审查、评估和监控​,就有可能预测和适应风险环境的变化

  • 3.3.7. 风险偏好是指一个组织在追求价值的过程中,从广义上愿意接受的风险程度

  • 3.3.8. 风险容忍度指导业务单位在其业务范围内落实风险偏好。风险容忍度体现了一定程度的灵活性,而风险偏好则规定了不应超越的风险限度

  • 3.3.9. 达到理想和适当的风险评估水平需要时间和努力

  • 3.3.10. 最终目标是建立一个框架,以确保企业及其风险决策者在选定的框架内使用所有可用数据,以可接受的风险水平,并利用输出结果为治理机构提供信息

3.4. 原则3:明确风险指引的需求

  • 3.4.1. 应确定治理机构,并让其参与全面了解其网络风险指引的需求

  • 3.4.2. 网络风险管理与所有形式的风险管理一样,需要包括高级决策者在内的广泛企业利益相关者的支持和参与

  • 3.4.3. 最终目标是为所有相关方提供适当的风险信息和风险衡量标准,以便他们做出基于风险的业务决策,并在既定的风险容忍度范围内开展业务活动

  • 3.4.4. 开发风险指引体系的一个重要因素是在适当的利益相关者和所需的风险信息之间建立工作关系

3.5. 原则4:商定风险评估间隔期

  • 3.5.1. 风险评估过程应按照商定的时间间隔进行,并定期评估其结果

  • 3.5.2. 风险登记册必须随着新风险、可能性和影响的确定而不断更新,以便治理机构能够决定新的风险应对措施,并将其输入风险登记册

3.6. 原则5:启用报告流程

  • 3.6.1. 报告计划应使治理机构了解网络风险对现有实践和战略决策的影响

  • 3.6.2. 风险指引体系是一个具有明确战略和确定流程的体系,这些流程必须包括向治理机构和所有其他相关利益方报告

  • 3.6.3. 报告是一种沟通,与所有其他形式的沟通一样,它对目标受众来说必须在内容和风格上都是可获取的、可操作的和具体的

  • 3.6.4. 董事会报告就是有效报告要求的一个很好的例子

    • 3.6.4.1. 董事的职责本质上是受托责任,即关注整个企业的财务健康

    • 3.6.4.2. 董事会报告应该用业务术语来表述网络风险,并直接反映到关键业务运营流程和指标上

    • 3.6.4.3. 最终目标是让董事会相信网络风险正在得到有效管理

  • 3.6.5. 风险管理过程中的许多利益相关者更习惯于简单地交流指标和其他数据

  • 3.6.6. 更好的方法是以一个具有情感冲击力的故事开头—一个被成功缓释的安全漏洞,然后再补充辅助数据

  • 3.6.7. 反馈机制使领导者能够根据需要调整战略,确保组织的网络安全态势保持稳健,并能应对不断变化的威胁环境

3.7. 既要有计划性,又要根据具体情况进行微调

posted @ 2026-01-31 09:34  躺柒  阅读(0)  评论(0)    收藏  举报