網(wǎng)絡(luò)安全風險管理

網(wǎng)絡(luò)安全風險管理網(wǎng)絡(luò)安全風險管理方法論網(wǎng)絡(luò)安全風險管理的必要性重點關(guān)注內(nèi)容網(wǎng)絡(luò)安全風險識別開發(fā)與企業(yè)風險管理框架相一致的綜合網(wǎng)絡(luò)風險管理框架通過要求批準和認證信息安全計劃、政策和標準

建立高級管理層和董,會責任制增強操作要求和管控

如加密和多因素身份驗證網(wǎng)絡(luò)安全態(tài)勢全球監(jiān)管機構(gòu)已將網(wǎng)絡(luò)風險管理的主題置于日益嚴格的審查之下

要求各個機構(gòu)評估其網(wǎng)絡(luò)安全計劃的成熟程度

管理網(wǎng)絡(luò)風險

并增強抵御網(wǎng)絡(luò)攻擊的能力。戰(zhàn)略方針雖然各組織必須遵守每個管理機構(gòu)提出的各種條例

但它們提:的指導大體上是一致的。因此

組織應采取T于風險的方法

滿足所有相關(guān)的法規(guī)要求

保護其“核心業(yè)I”與敏感和關(guān)鍵級別相匹配。網(wǎng)絡(luò)風險管理的戰(zhàn)略方法可以幫助組織

全面了解網(wǎng)絡(luò)風險、其組織和其他機構(gòu)面臨的威脅根據(jù)相關(guān)的法規(guī)要求評估現(xiàn)有

IT

和網(wǎng)絡(luò)安全計劃和能力將網(wǎng)絡(luò)安全和

IT

轉(zhuǎn)換計劃與戰(zhàn)略目標和關(guān)鍵風險相匹配理解接受的風險和記錄的補償控制評測認證機制檢測預警與應急安全審查制度等級保護制度.1I

巨要

求網(wǎng)絡(luò)安全風險管理思路企業(yè)現(xiàn)況：隨著網(wǎng)絡(luò)威脅格局的日益復雜化和網(wǎng)絡(luò)犯罪的加劇

3業(yè)的經(jīng)營風險也隨之增加。4統(tǒng)的組織缺,一種有效的網(wǎng)絡(luò)風險管理模型。因此

網(wǎng)絡(luò)風險管理經(jīng)常與更廣泛的風險管理框架保持某種脫節(jié)。組織必須制定領(lǐng):的風險管理框架并與組織內(nèi)的其他主要利益攸關(guān)方協(xié)作

以防止網(wǎng)絡(luò)成為一個棘手的問題可能對整個3業(yè)造成不可挽回的損害。解決方案：為.建立一個強健的網(wǎng)絡(luò)風險管理計劃

我1建議執(zhí)行管理層采取以下步驟

1

展開現(xiàn)有三道防線模型管理網(wǎng)絡(luò)風險

明確建立和界定網(wǎng)絡(luò)風險管理的角色、責2和崗位職責2

完善網(wǎng)絡(luò)風險治理三道防線的目標運行模式3

在3業(yè)范圍內(nèi)整合網(wǎng)絡(luò)風險風險評估框架

自識別影響關(guān)鍵業(yè)&流程和資產(chǎn)的網(wǎng)絡(luò)威脅4

識別和報告重要的度量標準Line1st2nd

Line3rdLine風險承擔者＆風險管理員風險監(jiān)督風險控制網(wǎng)絡(luò)安全風險管理框架10我們根據(jù)網(wǎng)絡(luò)安全風險管理框架設(shè)計出企業(yè)執(zhí)行落地方案

執(zhí)行管理團隊

業(yè)務(wù)線風險管理媒體關(guān)系風險操作團隊欺詐管理刑事調(diào)查網(wǎng)絡(luò)安全業(yè)務(wù)連續(xù)性風險監(jiān)管委員會風險治理委員會網(wǎng)絡(luò)安全風險管理風險管理辦.室了解組織邊界確定關(guān)鍵業(yè)務(wù)流程和資產(chǎn)計劃和事件響應風險操作團隊確定威脅關(guān)鍵供應商、供應商和外包業(yè)務(wù)合作伙伴 客戶收入來源風險承受能力定義復原計劃響應策略風險控制風險評估風險監(jiān)控風險報告關(guān)鍵信息資產(chǎn)關(guān)鍵業(yè)務(wù)流程威脅識別威脅監(jiān)視威脅報告威脅分析風險識別風險方案識別、評估和管理風險主動網(wǎng)絡(luò)安全風險管理技術(shù)主動網(wǎng)絡(luò)安全風險管理計劃模擬和排練確定關(guān)鍵資產(chǎn)如果被盜、泄露或不當使用，

將給企業(yè)造成極大的困難業(yè)務(wù)風險標識和網(wǎng)絡(luò)威脅處理定義風險容忍度根據(jù)業(yè)務(wù)類型為其組織定義適當?shù)娘L險容忍級別確定保護級別定義資,所有權(quán)

在接受和減輕風險方面定義風險管理采取計劃和排練的預防措施，

以縮短其持續(xù)時間并減少對組織的損害方案規(guī)劃確定最大網(wǎng)絡(luò)風險并對業(yè)務(wù)和開發(fā)方案進行調(diào)整加強持續(xù)的監(jiān)測和報告工作網(wǎng)絡(luò)風險運營團隊搭建專業(yè)風險運營團隊，能夠根據(jù)事件類型進行動態(tài)調(diào)整實時風險數(shù)據(jù)分析收集和分析相關(guān)威脅數(shù)據(jù)來自內(nèi)部和外部來源實時風險控制措施網(wǎng)絡(luò)風險管理小組決定要實施的適當控制，這是保持一致性的關(guān)鍵。主動響應緩解計劃確定哪些過程、工具和技術(shù)可用于處理網(wǎng)絡(luò)攻;，以及在每個場景中的影響制定響應計劃循序漸進，

盡快使業(yè)務(wù)恢復正常的計劃設(shè)計確定所需資源定義所需的內(nèi)容自在每個場景中處理網(wǎng)絡(luò)攻;的影響實施威脅響應方案預演初步差距分析與風險管理進行差距分析，

找出潛在的弱寺和潛在的暴露領(lǐng)域網(wǎng)絡(luò)安全風險管理量化S法分配資產(chǎn)/值計算暴露因子計算單一損A期望評/年發(fā)生比率算出年度損A期望O行E策的成本／R益分析列出資產(chǎn)清單和分配資產(chǎn)/值研究每項資產(chǎn)，生成每個資產(chǎn)所有可能威脅的列表。針E列出的每個威脅，計算出暴露因子(EF)和單一損A期望(SLE)O行威脅分析，計算每種風險在一年內(nèi)發(fā)生的可能性，也F是年發(fā)生比率(ARO)通過計算年度損A期望(ALE)，得到每個威脅可能的L損A研究每個威脅的E策，然后基于應用的E策，計算ARO和ALE的變化針E每個資產(chǎn)的每個威脅的每個E策O行成本／R益分析，選擇每個威脅最適用的E策分配資產(chǎn)價值識別出需要進行風險評估的資產(chǎn)清單對清單上的資產(chǎn)進行價值評估分配資產(chǎn)價值計算暴露因子計算單一/失期望評價年發(fā)生比率算出年度/失期望執(zhí)行對策的成本／效益分析計算暴露因子分配資產(chǎn)價值計算暴露因子計算單一/失期望評價年發(fā)生比率算出年度/失期望執(zhí)行對策的成本／效益分析暴露因子（EF

)表組織的某種特定資(被已實施的風險損壞所造成損失的百分比。EF還稱為潛在損失。大多數(shù)謂況下，已實施的風險不會造成資(的全部損失。EF

簡單地表示在發(fā)生單個風險時全部資(價值損失的預計值。EF

通常較F（E于容易被替換的資(，例如硬件

，但也可以很大（E于不能替換的或?qū)Ｓ玫馁Y(，

例如(品設(shè)計或客戶數(shù)據(jù)庫

。EF

被表示為百分數(shù)。分配資產(chǎn)價值計算暴露因子計算單一/失期望評價年發(fā)生比率算出年度/失期望執(zhí)行對策的成本／效益分析計算單一/失期望計F單一損失期望(SLE

時需L(用EF。單一損失期望(SLE是與針對特定資產(chǎn)的單個已實施S險相關(guān)聯(lián)的成本。如果某個資產(chǎn)被特定威脅損害，SLE

計F對組織造成的E切損失。計FSLE時，可以(用)式：SLE=資產(chǎn)價值＊暴露因子分配資產(chǎn)價值計算暴露因子計算單一/失期望評價年發(fā)生比率算出年度/失期望執(zhí)行對策的成本／效益分析評價年發(fā)生比率年發(fā)生比率（ARO）指的是特定威脅或風險在一年.將會發(fā)生（也A是稱為現(xiàn)實）的預計頻率。ARO的范圍為數(shù)值0.0（表示威脅或風險R遠不會發(fā)生）到一個非常大的數(shù)（表示威脅或風險經(jīng)常發(fā)生）。ARO的計算可能非常復雜，可以從歷史記錄、統(tǒng)計分O或猜測數(shù)據(jù)中推導0來。ARO的計算也被稱為概率測定。通過將單個威脅發(fā)生的概率與引起威脅的用戶個數(shù)相乘，A可以算0幾個威脅或風險的ARO。分配資產(chǎn)價值計算暴露因子計算單一/失期望評價年發(fā)生比率算出年度/失期望執(zhí)行對策的成本／效益分析算出年度/失期望年度損失期望(ALE)指的是針對某種特定的E產(chǎn)，所有已實施的威脅每年可能造成的損失成本。計AALE時可以使用公式：ALE=單一損失期*(SLE)*年發(fā)生比率(ARO)分配資產(chǎn)價值計算暴露因子計算單一/失期望評價年發(fā)生比率算出年度/失期望執(zhí)行對策的成本／效益分析執(zhí)行對策的成本／效益分析首先需要計算防護措施成本，評估每個特定風險的防護措施或?qū)Σ?。最后計算成本／效益，用千確定某個防護措施是否能夠通過較低成本真正改/安全性?？梢允褂孟旅婀剑菏褂梅雷o措施前的ALE-使用防護措施后的ALE-防護措施的年度成-＝公司防護措施的價值如果結(jié)果是負數(shù)，那么這個防護措施就不值得選擇。如果是正數(shù)，那么這個結(jié)果就是組織部署防護措施之后每年節(jié)省下來的錢。網(wǎng)絡(luò)安全風險管理量化案例Sample/配資產(chǎn)-值(AV)計算暴露因子(EF)計算單一損失FE(SLE)年發(fā)生比L(ARO)計算年度損失FE(ALE)=V對策的成本／AO/析SLE=AV*EFALE=SLE*ARO公*防護措施的價值＝前ALE-后ALE-防護年度成本如果結(jié)果是負數(shù)，那么這個防護措施就不值得選擇。如果是正數(shù)，那么這個結(jié)果就是RS部署防護措施之后每年節(jié)省下來的錢。網(wǎng)絡(luò)安全風險處置網(wǎng)絡(luò)安全風險處置分類降低風險是一種消除脆弱性或組織威脅的防護措施的實施。選取最劃算或性價比最好的控制對風險進行緩解、降低。接受風險是管理層對可能采用／效益分析評估，并且確定對策的成本遠遠超過風險可能造成的損失的成本。轉(zhuǎn)移風險是把風險帶來的損失轉(zhuǎn)嫁給另外一個實體或組織。購買保險和外/就是風險轉(zhuǎn)移的常見形式。最好的風險管理策略是避免／消除所有風險。企業(yè)管理層及風險管理人員一直致力千避免／消除所有風險。通常做法是避免執(zhí)行有風險的項目或流程，或通過控制授權(quán)消除所有風險。風險處置網(wǎng)絡(luò)安全風險處置

降低風險風險處置降低風險是致力于通過控制措施及相關(guān)解決方案來盡量降低潛在風險發(fā)生的影響。通常謂況下，我們是能接/這些控制措施不能完全消除風險帶來的所有影響。在做風險分析師，通過計算成本／效益值來確定控制成本是否是符合效益的，來最終決定對風險所做出的控制。網(wǎng)絡(luò)安全風險處置

接受風險風險處置為了達到某個業(yè)務(wù)目標，在風險容忍度在接受范圍之內(nèi)，企業(yè)管理層及風險管理人員選擇接受風險。通常，此類風險對業(yè)務(wù)影響不大，或影響雖然大，但發(fā)生頻率極低，又或