情報セキュリティリスク管理とは
情報セキュリティリスク管理とは,简称ISRM,是管理信息技术使用带来的风险的过程。。对组织资产的机密性,匹配性和可用性的风险的识别,评估和应对。。这个过程的最终目标是根据组织的整体抗风险能力来应对风险。。企业不应该期望消除所有的风险。。相反,我们需要识别组织可以接受的风险水平,并努力去实现。。
ISRM阶段
特定
- 特定资产:对于一个组织来说,最重要的是哪些数据、系统和其他资产??例如,哪些资产的机密性、整合性或可用性被侵犯,对组织的影响最大??这很容易理解为什么数据的保密性如此重要,比如社会安全号码和知识产权。。但是一致性呢??例如,一个公司在Sarbanes-Oxleysox在监管要求的情况下,财务报告数据中任何细微的一致性问题都可能导致巨大的成本。。或者,如果一个组织提供在线音乐流媒体服务,它的音乐文件的可用性被破坏,它可能会失去服务用户。。
- 脆弱的识别:哪些系统或软件的脆弱会对资产的保密性、完整性和可用性造成威胁??组织流程中的哪些漏洞或缺陷可能导致信息侵害??
- 威胁的识别:有可能造成资产或信息侵害的是哪些事项??例如,组织的数据中心所在地是龙卷风、洪水等环境威胁经常发生的地区吗??同一行业的公司是否经常被已知的犯罪组织、科学家团体或政府支持的组织攻击??威胁建模是一项重要的工作,它将已知的威胁和风险联系起来,揭示威胁利用脆弱将风险转化为现实的各种方法,并帮助添加上下文。。
- 控制的特定:为了保护被指定的资产,已经导入的东西有哪些呢??控制通过完全修复(修复)被识别的脆弱或威胁,或者降低(缓解)风险成为现实的可能性及其影响,直接应对脆弱和威胁。。例如,如果发现被解雇的用户有保留对特定应用程序的访问权限的风险,则控制在解雇用户时从相应应用程序中自动删除该用户的过程。就会产生财富。。替代控制是对“安全网”的控制,间接应对风险。在上面的例子中,你可以把每四个季度的访问权限审查过程作为一个替代控制。。在审查时,将应用程序的用户列表与公司的用户目录和解雇列表相互参照,以寻找拥有不必要的访问权的用户,如果发现,作为事后措施,取消不正当访问权。除去。。
环评
这是一个组合收集到的信息,关于资产,脆弱和控制,定义风险的过程。。为此有很多框架和方法,但都可以利用以下方程式。。
风险=(威胁x脆弱(恶意利用的可能性x恶意利用的影响)x资产价值)-安全控制
注:这是一个非常简化的公式的例子。。不幸的是,概率风险的计算并没有这么简单。。
対応
风险评估和分析完成后,组织需要选择对应的选项。。
- 修復:实现完全或几乎完全修正风险的控制。。
例:存储着最重要的资产的服务器发现了脆弱然后我们会给这个漏洞打补丁。。
- 緩和:降低风险的可能性和影响,但不会完全修正。。
例:如果你在你最重要的资产存储的服务器上发现了漏洞,你可以在服务器上实施防火墙规则,只允许特定系统与有漏洞的服务进行通信,而不是打漏洞补丁。。
- 移転:将风险转移到其他方面,以便组织能够收回风险转化为现实所产生的成本。。
例:购买保险来补偿脆弱系统被恶意利用时所造成的所有损失。。(注:这应该用来补充风险的修复和缓解,而不是完全取代修复和缓解。。)
- 风险的接受:不修正风险。。这是很明显的低风险,当风险变成现实时,修正所需的时间和精力要大于成本的情况下的应对方法。。
例:我们发现了服务器的脆弱,但是我们发现服务器上没有敏感信息。。你不可能把这个服务器作为访问其他最重要资产的入口,而且成功利用这个漏洞是非常复杂的。。因此,我们没有必要花费时间和资源来修复这个漏洞。。
- 规避风险:消除所有的风险隐患。。
例:我们找到了运行在操作系统(OS)上的服务器,该操作系统很快就会停止支持,并且无法接收来自创办者的安全补丁。。因为这些服务器同时处理和存储机密数据和非机密数据,所以为了避免机密数据被侵犯的风险,我们将这些机密数据转移到了新的服务器上,新的服务器可以立即打补丁。。当你计划停止使用服务器并将非机密数据转移到其他服务器时,服务器可以继续处理和运行这些非机密数据。。
沟通:
无论如何应对风险,都需要在组织内部就决策进行沟通。。利益相关者必须理解应对风险和不应对风险的成本以及决策背后的合理性。。我们需要明确定义我们的义务和责任,然后分配给每个人和团队。。因为我们需要有合适的人员在过程中合适的时间去应对。。
重复同样的步骤
:这是一个持续的过程。。如果你选择了需要实现控件的计划,你需要持续监控控件。。我们需要的是一个随时间变化的系统。。端口的开放,代码的改变和很多其他因素可能会导致控制在最初实现后的几个月或几年之内被破坏。。
責任管理
ISRM过程中有很多利益相关者,他们各自承担着不同的责任。。定义这个过程中的各种角色,以及与每个角色相关的责任,是这个过程顺利运行最重要的步骤。
工艺负责人:从高级的角度来看,一个组织可能有财务或审计小组负责企业风险管理(ERM)计划。。另一方面,信息安全或信息保障团队可能是ISRM项目的负责人,负责向ERM发送信息。。ISRM团队需要经常在现场实践流程。。
风险负责人:每个风险都应该由组织成员负责,他们需要从预算中支付修正问题的费用。。也就是说,风险负责人有责任确保对风险采取适当的应对措施。。如果你批准了预算,你就要对风险负责。。
除了风险负责人,还有其他类型的利益相关者,例如系统管理员、工程师和系统用户,他们会影响所选择的计划,并参与计划的实施。。
例如,信息安全团队(流程主管)执行ISRM流程。。如果发现了企业客户关系管理(CRM)系统的可用性风险,流程负责人可以与IT负责人(CRM系统负责人)以及日常管理该系统的IT负责人(CRM系统管理员)合作收集评估风险所需的信息。。
CRM软件的导入是为了让企业的销售部门能够有效地利用,假设CRM软件内的数据不能被利用的话最终会对销售产生影响的情况下,销售部门的负责人(最高销售责任人等)都是风险责任人。。风险负责人负责对信息安全团队、系统管理员、系统负责人等提供的不同应对计划的实施进行决策,并接受剩余风险。。但是,在实施应对计划的时候,系统负责人和系统管理员会再次参与其中。。日常使用CRM软件的销售人员等系统用户也是这个过程的利益相关者,因为他们可能受到所有应对计划的影响。。
风险管理是一项持续的工作,它的成功取决于风险评估、计划沟通以及履行职责的程度。。通过识别最重要的人员、流程和技术来应对上述程序,我们可以为组织中的风险管理策略和程序建立一个坚实的基础,然后随着时间的推移我们可以进一步发展。。。