資訊安全風險管理要素

為網絡安全做準備，企業必須滿足基本的網絡安全目标。網絡安全準備是指能夠檢測并有效響應來自網絡外部以及内部的計算機安全洩露事故和入侵、惡意軟體攻擊、網絡釣魚攻擊以及資料和知識産權竊取。

在本文中，我們将主要探讨風險，因為它影響着資訊與資訊系統。保護資訊是一個業務問題，解決方案并不隻是部署技術（防火牆和防病毒網關等），然後不管不顧，并全權依賴保護。企業必須采取積極主動的方法來發現及保護其最重要的資産，包括資訊、資訊技術和關鍵業務流程。資訊安全風險管理讓企業可評估其試圖保護的内容及原因，以作為确定安全措施的決定性支援要素。全面的資訊安全風險評估應該允許企業根據其業務群組織需求來評估其安全需求和風險。

請記住，資訊系統及其所包含資料的作用時支援業務流程，也是支援企業實作目标。在實際中，資訊是支援企業及其使命的基本要素，它有助于維持企業營運。

風險定義

根據卡内基梅隆大學軟體工程研究所的octave風險評估方法顯示，風險是指：“遭受破壞或損失的可能性。”威脅是風險的組成部分，可以被認為是：威脅行為者（人類或非人類）采取某種行動，例如識别和利用漏洞，導緻意想不到和不想要的結果，例如資訊丢失、修改或披露，或者失去對資訊的通路權限。這些結果對企業将帶來負面影響，這些影響可能包括：收益或客戶流失、市場差異化損失、事故響應及恢複的成本以及罰款和監管懲罰的成本。

資訊安全風險組成部分

資訊安全風險有幾個重要組成部分：

威脅行為者：利用漏洞的人類或非人類實體；

漏洞：威脅行為者利用的對象；

結果：利用漏洞導緻的結果；

影響：不良結果帶來的影響，不要将結果與影響混淆。

資訊安全風險最後且最重要的組成部分是受風險影響的資産，包括資訊、過程和技術。假設資産風險無法消除，資訊安全風險的唯一可控制的元件就是漏洞。我們可通過以下操作來控制漏洞：

删除漏洞。如果不存在漏洞，則不能被利用；

或者，如果漏洞無法被删除：

降低漏洞利用的可能性；

降低漏洞利用造成影響的嚴重性；

或者什麼都不做，接受風險。

還有一種情況是零日漏洞，企業無法抵禦未知漏洞帶來的特定結果和影響，并且沒有機會制定政策來減少可能性和影響。

風險管理

資訊安全風險是發現、了解、評估和緩解風險及其根本漏洞的過程，也是了解對資訊、資訊系統以及依靠資訊為其營運的企業的影響的過程。除了識别風險和風險緩解措施之外，風險管理方法和流程也将有所幫助：

識别關鍵資訊資産。風險管理程式可被擴充到識别關鍵人物、業務流程和技術。

了解所選擇的關鍵資産對營運、任務完成以及業務連續性的重要性。

為了滿足風險管理作為網絡安全準備元件的目标，企業必須建構強大的資訊安全風險評估和管理程式。如果企業風險管理（erm）程式已經存在，還可部署資訊安全風險管理程式來支援erm流程。

用于建構資訊安全風險管理程式的資源包括：

nist special publication 800-39，《管理資訊安全風險》

nist special publication 800-30，《風險評估指南》

資訊安全風險管理程式的其他要素包括：

資産管理程式

配置管理程式

變更管理程式

本文轉自d1net（轉載）