建立信息安全風(fēng)險(xiǎn)管理框架的五個(gè)步驟

安全是一種人員、流程和技術(shù)的功能對(duì)于安全和風(fēng)險(xiǎn)管理專業(yè)人員來(lái)說(shuō)不是一個(gè)秘密。但是，當(dāng)涉及到開(kāi)支的時(shí)候，歷史數(shù)據(jù)卻講述了不同的故事。大多數(shù)機(jī)構(gòu)過(guò)去不適當(dāng)?shù)匕?a class="contentlabel" href="http://www.ex-cimer.com/news/listbylabel/label/安全">安全開(kāi)支的很大比例用在了技術(shù)方面，基本上依賴基于產(chǎn)品的方法來(lái)解決自己的安全問(wèn)題。

　　應(yīng)用技術(shù)也許比改變員工的思想或者在機(jī)構(gòu)內(nèi)部實(shí)施嚴(yán)格的流程更容易。但是，技術(shù)本身也許并不是非常有效的。在本期應(yīng)用技巧中，我們將介紹機(jī)構(gòu)在建立減少商業(yè)風(fēng)險(xiǎn)的框架方面可以采取的五個(gè)步驟。

　　第一步：理解和定義你的信息環(huán)境

　　要制定一個(gè)全面的信息風(fēng)險(xiǎn)管理框架，CISO(首席信息安全官)必須首先定義自己的職責(zé)。例如，市場(chǎng)研究公司Forrester Research的框架包含17個(gè)域，涉及到人員、流程和技術(shù)。但是，但是，自己定義這些域是沒(méi)有意義的，除非每一個(gè)域都有合適的控制以保證信息的機(jī)密性、完整性和可用性。

　　第二步：確定機(jī)密性、完整性和可用性的要求

　　一個(gè)企業(yè)并非所有的方面都需要同樣水平的保護(hù)。合同義務(wù)和立法規(guī)定也許會(huì)決定一些機(jī)構(gòu)的商業(yè)控制。但是，對(duì)于許多其它企業(yè)來(lái)說(shuō)，明智的判斷要求與業(yè)務(wù)部門的合作伙伴合作確定這個(gè)事情。當(dāng)評(píng)估一個(gè)功能的重要性的時(shí)候，你要回答三個(gè)問(wèn)題：

　　·這個(gè)功能的保密性如何?評(píng)估這個(gè)功能的數(shù)據(jù)庫(kù)突破對(duì)你整個(gè)公司業(yè)務(wù)的潛在影響。例如，聯(lián)邦貿(mào)易委員會(huì)的制裁通常是企業(yè)不太擔(dān)心的事情。企業(yè)名譽(yù)的損失和正在進(jìn)行的法律糾紛通常會(huì)使企業(yè)付出更高的代價(jià)。

　　·這個(gè)功能的信息的準(zhǔn)確性是不是非常可靠?下一步，評(píng)估數(shù)據(jù)被破壞的潛在的影響。這種數(shù)據(jù)是非常廣泛的。例如，客戶收到錯(cuò)誤的藥品的案子比客戶技術(shù)支持投訴更難處理。

　　·如果這個(gè)功能在需要時(shí)卻沒(méi)有，后果是什么?時(shí)間幾乎永遠(yuǎn)是金錢。你也許不擔(dān)心你的即時(shí)消息談話被竊聽(tīng)，但是，每天帶來(lái)200萬(wàn)美元收入的公司網(wǎng)站卻不能受到威脅或者被中斷網(wǎng)絡(luò)連接，即使就幾分鐘。

　　第三步：定義你的控制

　　在過(guò)去的幾年里，安全辦公室的任務(wù)顯著擴(kuò)大了。首席信息安全官現(xiàn)在負(fù)責(zé)商業(yè)持續(xù)性、災(zāi)難恢復(fù)和遵守法規(guī)等許多領(lǐng)域。還有一些首席信息安全官不直接負(fù)責(zé)的領(lǐng)域，如物理安全、應(yīng)用程序部署和IT運(yùn)營(yíng)等。但是，這些功能對(duì)整個(gè)信息資產(chǎn)的安全有巨大的意義。首席信息安全官需要監(jiān)督和制定所有這些業(yè)務(wù)部門的安全控制標(biāo)準(zhǔn)以便更有效地完成自己的工作。首席信息安全官應(yīng)該基于框架的方法識(shí)別和衡量這些方面以便隨著時(shí)間的推移跟蹤他們的進(jìn)展。

　　第四步：制定強(qiáng)制措施、監(jiān)督和反應(yīng)機(jī)制

　　一個(gè)信息風(fēng)險(xiǎn)管理框架必須保證這些控制措施是定義的、強(qiáng)制執(zhí)行的、可以衡量的、監(jiān)督的和報(bào)告的。對(duì)于這些控制措施不能充分減輕風(fēng)險(xiǎn)的地方，首席信息安全官必須保證減少這些風(fēng)險(xiǎn)，轉(zhuǎn)移這種風(fēng)險(xiǎn)或者把風(fēng)險(xiǎn)降低到可以接受的程度。

　　第五步：衡量和報(bào)告

　　市場(chǎng)研究公司Forrester在最近的調(diào)查報(bào)告中發(fā)現(xiàn)，大多數(shù)安全規(guī)則計(jì)劃仍處在早期階段或者規(guī)劃階段。受訪者表示，在制定他們的規(guī)則計(jì)劃的時(shí)候有兩個(gè)主要的挑戰(zhàn)：找到正確的規(guī)則并且把這個(gè)安全規(guī)則翻譯成商業(yè)語(yǔ)言。

　　許多安全經(jīng)理把重點(diǎn)放在收集和報(bào)告戰(zhàn)術(shù)的和狀態(tài)更新信息方面。要制定一個(gè)成功的安全規(guī)則計(jì)劃，首席信息安全官需要根據(jù)商業(yè)目的和目標(biāo)識(shí)別、優(yōu)先安排、監(jiān)督和衡量安全。然后，他們應(yīng)該重點(diǎn)把這些規(guī)則翻譯成商業(yè)語(yǔ)言，讓管理層在制定商業(yè)決策的時(shí)候使用這些規(guī)則。

　　在我們的調(diào)查中，許多首席信息安全官感到為機(jī)構(gòu)找到正確的規(guī)則的巨大努力令他們應(yīng)接不暇。目前，大多數(shù)機(jī)構(gòu)都有很好的安全政策、合適的技術(shù)以及流程來(lái)強(qiáng)制執(zhí)行這些規(guī)則。還有一些監(jiān)督和反應(yīng)能力，但是，大多數(shù)機(jī)構(gòu)目前都沒(méi)有好的安全衡量能力。衡量和報(bào)告依賴于安全政策，是你的安全計(jì)劃中的重要組成部分，永遠(yuǎn)都不應(yīng)該低估或者忽略。