網絡安全風險管理架構

幫助了解什麼是好的風險管理方法，以及哪些網絡安全風險管理方法适合您的組織。

管理網絡安全風險的架構

本節列出了一系列可以構成任何網絡安全風險管理流程基礎的進階步驟。雖然此處顯示的步驟反映了ISO/IEC 27005:2018中描述的流程，但在許多其他網絡安全風險管理标準、指南、流程和方法中很可能會找到類似的流程或步驟。

這些步驟将幫助您了解良好的風險管理方法是什麼樣的，并幫助您确定哪些網絡安全風險管理方法适合您的組織。

對于那些剛接觸網絡安全風險管理并且不知道如何開始進行風險評估等主題的人，我們還提供了基本的網絡風險方法。

第 1 步 - 建立組織環境

任何網絡安全風險管理流程的第一步都是了解管理網絡安全風險的業務環境。網絡安全風險管理不應使組織的目标難以實作，而必須能夠實作這些目标。建立組織和業務背景将幫助您發現和了解您的組織真正做什麼、看重什麼以及可能關心什麼，甚至在您考慮識别和管理網絡安全風險之前也是如此。

您不應該自己建立此視圖。相反，您應該利用現有的組織知識。這可以是使命宣言、企業級風險資訊的形式，或者您可以與業務中适當的利益相關者交談。根據您的具體情況，這可能是在組織、計劃或項目級别。白闆、頭腦風暴、PESTLE 和 SWOT 分析等技術可能在團體或個人中有用，可以幫助您建立這種背景。

注意事項：

• 您組織的使命、宗旨、目标和優先事項是什麼？
• 您的企業關心什麼、必須保護什麼以及不能容忍什麼結果？
• 您的業務的關鍵領域是什麼？
• 您的決策者希望您的風險管理工作解決哪些關鍵問題？
• 您是否需要滿足任何外部因素，例如法律、法規、監管、合規性或合同要求？

第 2 步 - 确定決策者、治理流程和限制因素

此步驟是關于确定如何在組織内控制和指導網絡安全風險管理。您應該從“組織範圍”的角度進行思考，以避免孤立的思維。網絡安全風險決策應與其他業務風險的管理保持一緻。風險負責人或決策者不應單獨擔任網絡職能部門，因為有關網絡安全風險管理的決策屬于業務決策。例如，如果您是一個較大的組織，則應該由整個董事會負責，而不是留給某個人。

為此，您需要清楚地了解您的決策者是誰、他們從事的業務級别以及他們在風險所有權、責任和問責方面的權力。也許您不直接向董事會報告，您的背景可能是一個計劃或項目。是以，了解您特定情況下決策的授權和更新過程至關重要。理想情況下，所有網絡安全風險管理活動都應由具有決策權的人準許，并與他們必須做出的決策相關聯。是以，決策者必須能夠接觸到網絡安全風險管理專家，并且這些專家能夠根據需要有效地傳達風險管理資訊和問題。

您還需要了解決策者的限制（例如預算、資源和時間）以及其他組織因素，例如您遵循的采購和開發流程（例如瀑布式或靈活式）。您的網絡安全風險管理活動應與您組織的風險偏好相一緻，并與更廣泛的業務實踐的節奏和節奏相比對，以按時完成項目；如果你的輸入晚了，它們将毫無意義。

注意事項：

• 您的組織内是否存在現有的風險管理治理和決策流程和結構？它是如何運作的？
• 您的組織是否有承擔網絡安全風險的明确意願？
• 誰負責制定網絡安全風險管理決策，他們的需求和限制是什麼，以及如何在大型或複雜的組織中下放該職責？
• 如果您不知道該怎麼做，您将如何更新網絡安全風險管理決策？
• 您打算如何将網絡安全風險整合到組織更廣泛的目标和風險中？
• 誰是您的風險、系統、服務和資産所有者，以及已有哪些網絡安全風險管理角色？
• 您如何管理您可能無法完全控制的情況，例如在第三方、雲服務或供應鍊環境中？誰負責這方面的決策并承擔責任，網絡安全風險管理責任如何分擔？
• 您的安全預算是多少？

第 3 步 - 定義網絡安全風險挑戰

首先從高層次仔細思考定義網絡安全風險挑戰的關鍵特征。我們使用“挑戰”一詞，但您可能會将其視為網絡安全風險問題或您計劃應用風險分析的問題。在使用特定的網絡安全風險評估工具之前，重要的是要考慮挑戰的範圍和性質。了解這些關鍵特征将幫助您決定在步驟 4中采取的适當方法或方法組合。

注意事項：

• 挑戰有多複雜？這是一個标準的、定義明确且易于了解的挑戰嗎？您能否應用已知的解決方案來有效應對您的挑戰？如果是這樣的話，是否還需要進行進一步的評估或分析？它是否新穎或複雜，可能需要不同的方法？
• 挑戰是在設計上，還是在操作上？如果是設計方面的，您的開發實踐和節奏是什麼（例如瀑布式或靈活式）？
• 網絡安全風險是否會對其他風險領域産生重大影響？例如，對于網絡實體系統，是否需要将網絡安全風險評估與安全風險評估結合起來？
• 是否有一些因素可能超出您的直接控制範圍，但仍然是您風險狀況的一部分，例如您的供應鍊、第三方或雲服務的使用？您在多大程度上可以依賴他們的潛在風險評估？您需要做什麼來履行您的職責？
• 您是否處于高度威脅的環境中？是否存在與您的組織相關并會影響您對威脅環境的了解的情況？例如，您是政府供應商嗎？您即将推出新産品，或者您最近在媒體上的曝光度更高嗎？在考慮您的威脅環境時，這些因素可能是相關的。
• 會不會出現頻率低但影響大的事件？哪些時間範圍與您的網絡安全風險管理相關？在短期内，您可能對自己的風險有更大的确定性，但從長遠來看，您可能需要應對與您的系統和更廣泛的環境相關的更大程度的不确定性。
• 您是否受到所使用的某些技術的限制，例如營運技術 (OT)、ICS/SCADA 或舊産品？

第 4 步 - 選擇方法

網絡風險管理工具箱中有許多途徑、方法和工具可用于幫助評估和管理網絡安全風險。沒有一種方法适合所有情況，也沒有一種工具可以解決所有問題。每個都有自己的優點和缺點，具體取決于您評估的内容。是以，您選擇的方法應根據您已識别的風險挑戰的關鍵特征進行定制。在您自己的功能工具箱中混合使用多種方法是值得的，以便您可以為您的特定風險挑戰選擇最合适的工具。

您的方法還可能受到業務限制的影響，例如可用的财務和資源，以及在内部和與其他風險領域或在外部與業務合作夥伴或監管機構保持一緻性的需要。我們的網絡風險管理工具箱中描述的一些技術是免費的并且相對易于使用，而其他技術可能需要訂閱、廣泛的教育訓練和支援治理結構。

注意事項：

• 您在第 3 步中确定的關鍵特征是否會引導您使用特定的工具或技術？
• 您目前的方法或基線是否滿足您的風險挑戰的需求？
• 選擇工具時需要考慮哪些限制？
• 您選擇的方法是否可以幫助您了解需要保護的内容以及如何保護？如果沒有，您還需要什麼其他方法？
• 您是否具備使用特定工具、方法、技巧或途徑的正确技能？或者您需要引入專業資源來幫助您？
• 您選擇的方法（在語言、流程和輸出方面）與您組織中用于風險管理的其他方法的契合程度如何？

第 5 步 - 了解風險以及如何管理風險

此步驟是關于使用網絡風險管理工具箱方法、技術和工具來識别和評估網絡安全風險，以便您可以優先考慮它們，并就如何實際管理它們做出決策。設法管理您發現的所有網絡安全風險非常重要。對于那些剛接觸網絡風險管理并且不知道從哪裡開始的人，還提供了基本的風險評估，但您應該注意，這種基本方法附帶了一些嚴重的健康警告。

此步驟将涉及風險分析和優先級排序，以及就如何管理風險做出決策。您可以選擇通過以下方式管理網絡安全風險：

避免它

這意味着不繼續或停止導緻存在風險的活動。這有時被稱為“終止”風險。

接受它

這意味着做出明智的決定，不采取任何措施（或進一步采取任何措施）來治療、減輕、修改或降低已識别的風險（無論是作為原始的未經處理的風險，還是作為進行某些治療後仍然存在的殘留風險）。接受風險意味着，如果風險發生，您将不得不承受由此産生的影響和後果。之是以做出這些決定，是因為處理風險的成本可能超過可能實作的任何影響的成本，或者因為在組織為了追求其目标和優先事項而願意承擔風險的情況下，風險是可以容忍的。這有時被稱為“容忍”或“保留”風險。

轉移它

這意味着将風險的影響或後果轉移給其他人（例如通過保險）。這有時可以稱為“分擔風險”。

治療它

這涉及技術和非技術控制的實施、管理和維護，旨在降低網絡安全風險發生的可能性，或減少發生網絡安全風險時的影響（目的是使網絡安全風險在組織的風險偏好範圍内可接受或可容忍）。這有時可以稱為采取行動“修改”、“減輕”或“降低”風險。

如果您選擇通過使用技術或非技術控制措施來處理已識别的風險，那麼您群組織内承擔網絡安全風險的人員必須确信這些控制措施将按照您的預期發揮作用，并且它們将在您所使用的系統或服務的整個生命周期中繼續發揮作用，這一點非常重要。這種信心被稱為“安全保證”、“技術保證”或簡稱“保證”。

當您向決策者提出建議時，您需要描述和溝通如何獲得保證（并維護您推薦的控制措施）。

不可能完全消除或治療所有風險。當您使用控制措施處理網絡安全風險時，總會留下一個或多個風險，這些風險被稱為“殘留風險”。這些殘餘風險本身也需要進行管理。

進行的風險分析的數量需要與您面臨的風險挑戰相稱，如果您的方法沒有為您提供幫助您識别和管理網絡安全風險的資訊，那麼您應該停下來考慮一下您是否做得足夠，或者是否需要嘗試其他方法來擷取更多資訊。

您提出的網絡安全風險管理建議應在正确的時間以正确的格式傳遞給适當的決策者。在所有情況下，您評估的風險和提出的建議都應該可以追溯到企業正在做什麼和關心什麼。您的建議應該是可行的并且符合決策者的限制，但他們也應該清楚他們将繼續承擔哪些風險，換句話說，如果他們接受您的建議，将會留下哪些剩餘風險。您所做的這些以及其他分析和決定應适當記錄以保持可追溯性。這些檔案可能包括：

• 風險登記冊：向決策者和其他利益相關者傳達已識别的風險并确定其優先順序
• 網絡安全風險管理計劃：該計劃規定了如何管理網絡安全風險，并描述了為處理已識别風險而将實施的控制措施
• 保證計劃：它規定了如何在系統或服務的整個生命周期中獲得和維護用于處理已識别風險的控制保證
• 剩餘風險聲明：這為決策者确定了處理已識别風險後遺留的風險，以便他們能夠就如何管理這些風險做出明智的決定

您應該能夠證明并捍衛您的建議。您提出的任何主張或您提供的資訊都應該有充分的論據和證據支援。您應該了解，控制措施隻有在解決已識别的風險時才有用。如果您的技術不允許您做到這一點，那麼您應該考慮采取替代方法。

注意事項：

• 最有效地利用不同來源的資料和資訊。
• 定量資訊和方法可能有助于開展成本效益分析，為有關潛在控制措施的決策提供資訊。
• 意識到“高”、“中”或“低”等陳述和标簽的效用有限，而不将它們設定在有意義的技術和/或業務背景中。你對high的了解可能和你的觀衆不一樣。
• 請注意無意識偏見的潛在影響，這可能會扭曲您分析所依據的某些輸入。

第 6 步 - 溝通和咨詢

下一步是将您的發現和建議傳達給企業内适當的決策者或決策者群體。您的溝通必須有意義，并且在詳細程度和使用的格式方面适合閱聽人。例如，如果您需要或選擇使用标準标簽，例如高、中和低，請確定您已向應用這些标簽的人和将根據這些标簽做出決策的人清楚地表達了它們的含義。需要有效的雙向溝通（面對面和書面）來建立所有利益相關方的信譽并做出有效的決策。使用不适合閱聽人或上下文的過于技術性和網絡安全術語可能會導緻溝通不暢和混亂。

注意事項：

• 咨詢網絡安全風險管理決策者和其他治理利益相關者，以便更好地了解他們對風險管理資訊的需求，進而幫助他們做出明智、及時的決策。
• 簡潔并為閱聽人提供量身定制的建議：将大量複雜的風險資訊提煉成有意義的更新。
• 您應該能夠将您識别的每個風險追溯到一些高層組織風險或損失。確定您的語言和示範對決策者來說具有影響力且易于了解，并解決了他們真正關心的問題。使用非技術和非安全語言來實作這一點非常有幫助。
• 考慮如何按優先級呈現風險，将注意力集中在最關鍵的風險和建議上，但確定捕獲和考慮所有風險。
• 您使用的語言和風險聲明應與整個企業的現有實踐一緻。如果其他人都使用标簽來描述風險及其組成部分，那麼您也應該這樣做，但請記住根據上下文仔細描述您使用的任何标簽，以確定每個人都了解它們的含義。

第 7 步 - 實施并確定

此步驟是關于實施您提出的建議（并且您的決策者已同意），以及獲得并保持對您應用的控制和措施有效并按預期有效并繼續有效的信心。

這裡的目的是確定網絡安全從一開始就已包含在您正在處理的系統或服務中，并且在設計上是安全的。作為風險從業者，您可能不直接對此活動負責。是以，確定負責實施的人員了解他們正在解決的風險以及您為管理這些風險而提出的建議非常重要。這涉及這些控制的“整個生命周期”管理以及剩餘風險的管理。通常很容易倉促或忽視這一步，但您應該像在架構中的早期步驟中投入一樣多的時間和精力來進行這些活動。

我們今天用于商業和個人用途的系統本質上是社會技術的，這意味着它們涉及人員、技術和業務流程。這些系統的傳遞和維護還可能涉及複雜的供應鍊。網絡安全風險可能會影響所有這些因素，是以您需要確定在所有這些方面都根據需要适當且有效地實施了網絡安全控制。

網絡安全控制和措施應分層應用于系統。這種方法有時被稱為“深度防禦”，即單個控制或措施的失敗或妥協不會導緻攻擊者立即完全通路我們關心的内容。為此，他們需要克服或妥協不止一種控制或措施。

在某些情況下，例如在使用雲服務時，實施網絡安全控制的責任可能與第三方服務提供商共同承擔。您應該注意，雖然實施控制的責任可能與第三方共同承擔，但風險（及其管理方式）的責任和義務仍然由您和您的組織承擔。

無論您是安全控制和措施、将安全應用到您的供應鍊，還是與第三方供應商定義共享安全模型，您群組織内的風險負責人都應該尋求信心（或保證），您正在使用的控制和措施将按照您的預期發揮作用（并且隻要您需要它們，它們就會繼續這樣做）。

例如：

• 您可以要求使用、管理和維護您的系統和服務的人員接受安全完成工作所需的教育訓練和技能，進而向他們尋求保證
• 您可以通過以下方式尋求對所使用的技術和流程的保證：例如，確定它們在設計和建構時考慮到安全性、根據标準獨立評估它們、在部署之前和運作過程中對其進行安全測試，以及監控和稽核它們的使用方式

NCSC 網站包含有關産品和服務的詳細資訊，由 NCSC 保證保護您的組織并向您的客戶保證您認真對待網絡安全。

良好的網絡安全風險管理是一項持續的活動，是以您不能永遠依賴實施決策。您需要不斷考慮您現有的網絡安全控制和保障安排在您面臨的網絡安全威脅和風險的背景下是否仍然具有相關性。

注意事項：

• 考慮潛在控制措施的财務和資源影響以及它們是否符合 PACE 原則（務實、适當和成本效益）。它們還應該符合您的風險偏好、業務目标和規定的風險。
• 适當使用風險管理選項的組合（即并非所有風險都需要通過控制來管理，而是可以避免、轉移或接受它們）。
• 尋求實作縱深防禦并使用一系列控制措施來解決人員、業務流程、實體和技術問題；避免隻關注技術，而要把人放在思考的核心位置。
• 考慮如何充分利用現有的現有控制措施，并充分利用産品、系統和服務内置的安全功能（但預設情況下可能未啟用，或者可以輕松調整它們以解決已識别的相關風險）。
• 確定您首先管理最高優先級的風險。
• 采用共同基準将幫助您防禦最常見的威脅。您可以參考通用的控制集或架構，但不要盲目遵循這些控制，僅選擇與您的威脅模型和風險相關的控制。您可能還需要通過實施定制或有針對性的控制措施來調整或增強共同基準，以管理您的設定或環境所特有的網絡安全風險。
• 考慮将保障模型建構到設計、操作和維護技術系統和服務的流程中，以提供對網絡安全風險管理方式的信心。
• 檢查您做出的有關接受或容忍網絡安全風險的任何決策是否仍然安全，并且所有這些風險接受決策是否可以在組織或企業風險級别上被看到和了解，以便為更進階别的風險管理觀點和決策提供資訊。
• 定期審查您使用的網絡安全控制措施，以確定它們保持有效并與您面臨的風險相關。

第 8 步 - 監控和審查

網絡安全風險管理是一個持續的過程，您的方法需要定期審查和調整，以應對不斷變化的威脅和風險形勢。重要的是，不僅要監控和審查您所實施的控制措施的有效性和性能，還要監控和審查您的風險評估和網絡安全風險管理方法本身。網絡安全的設計應在系統或服務所支援的業務的整個生命周期内實施，而不僅僅是在傳遞系統或服務的項目/項目群的生命周期内實施。

注意事項：

• 定期審查您的網絡安全風險管理整體方法，為您的組織提供持續的保證，確定其有效營運以滿足業務需求，并确定可能需要改進的領域或可能需要在現有網絡安全風險管理工具箱中添加額外和/或替代方法或技術的領域。
• 不要害怕復原或撤銷以前的風險處理決策：這是因為您在首次實施系統或服務時做出的處理決策今天可能不合适。
• 監控您的系統将使您能夠觀察其行為是否超出您定義的參數，例如遵守網絡安全政策，并幫助您了解哪些地方可能需要額外的幹預、措施或控制。通過這種方式，您可以将監控本身用作控制，例如使用保護監控和事務監控。
• 不斷确認現有的控制措施在管理網絡安全風險方面是适當且相稱的。
• 制定名額和績效名額來衡量控制的有效性
• 當事情發生重大變化時，重新審視您的風險評估和分析。這可能是當您面臨的威脅發生變化時，或者當您更改用于傳遞和管理系統或服務的技術時，或者當您使用系統的方式發生重大變化時。
• 使用各種機制來監控和審查您的系統和服務，例如定期審查、滲透測試、安全稽核、IT 運作狀況檢查和安全監控解決方案或您自己的日志記錄。這些機制将幫助您識别網絡安全事件，并提供有關您用于管理網絡安全風險的措施和控制措施效果如何或其他方面的資訊。