在本页
- 1 .是否需要一种正式的方法来管理网络风险?
- 2 .网络安全风险管理工具箱中可能有什么?
- 3 .补充工具和方法
拥有正确的风险管理技术、工具或方法来应对组织面临的网络安全挑战。
每个组织都是不同的,他们面临的风险管理挑战也不同。这意味着组织将需要使用不同的风险管理工具、方法和途径来帮助他们应对不同的风险管理挑战。组织的网络安全风险管理工具箱中可以包含许多途径、方法和工具,但没有任何一种工具、方法或途径能够提供有效管理所有网络安全风险所需的信息和观点。
正如安全是组织内每个人的责任一样,安全决策也可以发生在各个级别。为了实现这一目标,组织的高级领导层应该使用安全治理来列出各种风险信息。
了解所做选择的好处和局限性非常重要。最终,如果您使用的方法不能帮助您了解需要保护的内容、原因和方式,那么应该寻求替代方法。
对工具、方法和方法的选择也可能受到业务限制的影响,例如可用的财务、资源和风险管理技能,并且可能需要组织的部门与合作伙伴组织使用的工具或方法保持一致。
有些工具、方法和方法是免费的,并且相对易于使用,而另一些则需要订阅、广泛的培训和支持治理结构,因此选择适合风险挑战的工具至关重要。
是否需要一种正式的方法来管理网络风险?
在我们开始考虑网络安全风险管理工具箱中可能包含的工具、方法和方法之前,值得说明的是,在某些情况下,进行网络安全风险评估和分析可能几乎没有什么收获。这些情况可能包括:
- 那些您面临众所周知和易于理解的问题、已知良好架构或风险处理模式的情况可以遵循和应用。
- 已经进行风险评估以支持您拥有或打算实施的安全基线的风险评估,例如《小型企业指南》或《网络要点》
- 或者某些客户、部门或业务的特定法规要求您应用控制措施或控制措施集以符合合同和法规。
您应该仅在您认为风险管理挑战超出任何预定义方案或控制集范围以及可能存在风险管理差距或缺陷的领域应用额外的风险评估和分析工具、方法和途径。
网络安全风险管理工具箱中可能有什么?
在开发风险管理工具箱时,请务必记住,这并不意味着您需要停止使用或扔掉已经使用的任何东西。如果您当前使用的途径、方法和工具能够有效解决您的网络安全风险挑战并满足您的组织的需求,那么您应该继续使用它们,并让它们成为您的风险管理工具箱的基础。但请考虑用新的或替代的方法、方法和工具来补充这些内容,以提高您对网络安全风险的看法和理解。
以下列表旨在提出任何组织都可以考虑添加到其风险管理工具箱中的一些工具、方法和途径,无论它们是从头开始还是在某些现有工具、方法和途径的基础上构建。此列表无意以任何方式进行优先级、详尽或完整,组织需要根据他们面临的风险管理挑战以及他们可用的资源来选择他们使用的内容。
通过以下提供的链接可以查看有关此处涵盖的每个领域的更多信息:
- 风险管理信息。为了尽可能地了解风险,需要各种风险管理信息。
- 网络安全风险量化 网络安全风险分析和评估主要采用定性方法进行。一种补充方法可能是在适当且有用的情况下使用定量方法。
- 风险评估方法。从不同角度思考网络安全风险管理挑战有助于提供最佳信息来指导决策。系统方法与组成方法不同,每种方法都提供了不同的风险视角。
组件驱动方法。这些是理解和管理网络风险最常用的风险评估方法。这些分析了各个系统组件面临的网络安全风险,并且最好应用于系统生命周期、运行或设计和开发过程中的各个点,在这些点上可以很好地理解其组成部分及其之间的关系。
系统方法。这些方法提供了风险的系统视角,并且可以在系统的确切物理设计确定之前使用,例如在系统设计的概念阶段。这些系统驱动的方法可以帮助您识别系统组件之间的交互所产生的风险,并且当系统组件之间的交互特别复杂或不太容易理解时(例如当将新元素引入到先前的元素中时)可能会很有用。易于理解的系统)。这种方法还可以帮助您整合不同类型的风险评估,例如网络安全和网络物理系统中的安全风险。
- 应不断从您用于处理网络安全风险的控制措施(无论是程序、人员、物理还是技术)中寻求保证。因此,(通过有效利用保障活动)获得对风险处理的信心对于管理网络风险至关重要。
补充工具和方法
有许多补充工具、方法和技术可以帮助您了解和管理网络安全风险。下面介绍了一些内容,但您应该根据自己的需要寻求扩展工具箱,采用适合您的方法和技术。
- 攻击树 可用于探索可能导致成功攻击的事件链,并可以帮助您了解对系统进行一系列潜在攻击的可行性。攻击树可以在敏捷环境中有效使用,因为攻击树可以与迭代开发一起构建,从而使您能够在开发的同时发现并解决安全风险。
- 威胁建模涉及使用多种不同的技术、工具和方法,帮助您更好地了解所面临的技术威胁,了解您正在构建或使用的系统或服务可能如何受到攻击以及如何管理风险由那些攻击所构成。
- 网络安全场景可以帮助您了解您可能面临的网络安全风险挑战,并制定对网络安全事件的响应措施,为事件发生时做好准备。
笔记
上述途径、方法、工具和技术并不相互排斥,因此可以在系统生命周期的不同阶段相互补充,或者对面临的网络安全风险、它们如何实现以及如何获得不同的看法,将如何管理它们。