建立信息安全風(fēng)險管理框架的五個步驟
應(yīng)用技術(shù)也許比改變員工的思想或者在機(jī)構(gòu)內(nèi)部實(shí)施嚴(yán)格的流程更容易。但是,技術(shù)本身也許并不是非常有效的。在本期應(yīng)用技巧中,我們將介紹機(jī)構(gòu)在建立減少商業(yè)風(fēng)險的框架方面可以采取的五個步驟。
第一步:理解和定義你的信息環(huán)境
要制定一個全面的信息風(fēng)險管理框架,CISO(首席信息安全官)必須首先定義自己的職責(zé)。例如,市場研究公司Forrester Research的框架包含17個域,涉及到人員、流程和技術(shù)。但是,但是,自己定義這些域是沒有意義的,除非每一個域都有合適的控制以保證信息的機(jī)密性、完整性和可用性。
第二步:確定機(jī)密性、完整性和可用性的要求
一個企業(yè)并非所有的方面都需要同樣水平的保護(hù)。合同義務(wù)和立法規(guī)定也許會決定一些機(jī)構(gòu)的商業(yè)控制。但是,對于許多其它企業(yè)來說,明智的判斷要求與業(yè)務(wù)部門的合作伙伴合作確定這個事情。當(dāng)評估一個功能的重要性的時候,你要回答三個問題:
·這個功能的保密性如何?評估這個功能的數(shù)據(jù)庫突破對你整個公司業(yè)務(wù)的潛在影響。例如,聯(lián)邦貿(mào)易委員會的制裁通常是企業(yè)不太擔(dān)心的事情。企業(yè)名譽(yù)的損失和正在進(jìn)行的法律糾紛通常會使企業(yè)付出更高的代價。
·這個功能的信息的準(zhǔn)確性是不是非??煽?下一步,評估數(shù)據(jù)被破壞的潛在的影響。這種數(shù)據(jù)是非常廣泛的。例如,客戶收到錯誤的藥品的案子比客戶技術(shù)支持投訴更難處理。
·如果這個功能在需要時卻沒有,后果是什么?時間幾乎永遠(yuǎn)是金錢。你也許不擔(dān)心你的即時消息談話被竊聽,但是,每天帶來200萬美元收入的公司網(wǎng)站卻不能受到威脅或者被中斷網(wǎng)絡(luò)連接,即使就幾分鐘。
第三步:定義你的控制
在過去的幾年里,安全辦公室的任務(wù)顯著擴(kuò)大了。首席信息安全官現(xiàn)在負(fù)責(zé)商業(yè)持續(xù)性、災(zāi)難恢復(fù)和遵守法規(guī)等許多領(lǐng)域。還有一些首席信息安全官不直接負(fù)責(zé)的領(lǐng)域,如物理安全、應(yīng)用程序部署和IT運(yùn)營等。但是,這些功能對整個信息資產(chǎn)的安全有巨大的意義。首席信息安全官需要監(jiān)督和制定所有這些業(yè)務(wù)部門的安全控制標(biāo)準(zhǔn)以便更有效地完成自己的工作。首席信息安全官應(yīng)該基于框架的方法識別和衡量這些方面以便隨著時間的推移跟蹤他們的進(jìn)展。
第四步:制定強(qiáng)制措施、監(jiān)督和反應(yīng)機(jī)制
一個信息風(fēng)險管理框架必須保證這些控制措施是定義的、強(qiáng)制執(zhí)行的、可以衡量的、監(jiān)督的和報告的。對于這些控制措施不能充分減輕風(fēng)險的地方,首席信息安全官必須保證減少這些風(fēng)險,轉(zhuǎn)移這種風(fēng)險或者把風(fēng)險降低到可以接受的程度。
第五步:衡量和報告
市場研究公司Forrester在最近的調(diào)查報告中發(fā)現(xiàn),大多數(shù)安全規(guī)則計劃仍處在早期階段或者規(guī)劃階段。受訪者表示,在制定他們的規(guī)則計劃的時候有兩個主要的挑戰(zhàn):找到正確的規(guī)則并且把這個安全規(guī)則翻譯成商業(yè)語言。
許多安全經(jīng)理把重點(diǎn)放在收集和報告戰(zhàn)術(shù)的和狀態(tài)更新信息方面。要制定一個成功的安全規(guī)則計劃,首席信息安全官需要根據(jù)商業(yè)目的和目標(biāo)識別、優(yōu)先安排、監(jiān)督和衡量安全。然后,他們應(yīng)該重點(diǎn)把這些規(guī)則翻譯成商業(yè)語言,讓管理層在制定商業(yè)決策的時候使用這些規(guī)則。
在我們的調(diào)查中,許多首席信息安全官感到為機(jī)構(gòu)找到正確的規(guī)則的巨大努力令他們應(yīng)接不暇。目前,大多數(shù)機(jī)構(gòu)都有很好的安全政策、合適的技術(shù)以及流程來強(qiáng)制執(zhí)行這些規(guī)則。還有一些監(jiān)督和反應(yīng)能力,但是,大多數(shù)機(jī)構(gòu)目前都沒有好的安全衡量能力。衡量和報告依賴于安全政策,是你的安全計劃中的重要組成部分,永遠(yuǎn)都不應(yīng)該低估或者忽略。
評論