您的關(guān)鍵任務(wù)數(shù)據(jù)、客戶信息和人事記錄是否免受網(wǎng)絡(luò)犯罪分子、黑客甚至內(nèi)部濫用或破壞的入侵？如果您確信您的數(shù)據(jù)是安全的，其他公司也有同樣的感覺：

• Target 是美國(guó)最大的零售商之一，在 2013 年成為大規(guī)模網(wǎng)絡(luò)攻擊的受害者，1.1 億客戶的個(gè)人信息和 4000 萬條銀行記錄被泄露。這對(duì)公司的形象造成了長(zhǎng)期損害，并支付了超過 1800 萬美元的和解金。
• 著名的信貸公司 Equifax 在 2017 年 7 月被發(fā)現(xiàn)，歷時(shí)數(shù)月遭到攻擊。網(wǎng)絡(luò)竊賊竊取了超過 1.43 億客戶的敏感數(shù)據(jù)和 200,000 個(gè)信用卡號(hào)碼。

這些只是導(dǎo)致大量罰款和和解的高度公開攻擊的例子。更何況，對(duì)品牌形象和公眾認(rèn)知的損害。卡巴斯基實(shí)驗(yàn)室的網(wǎng)絡(luò)安全研究顯示，2018 年全球發(fā)生 7.58 億次惡意網(wǎng)絡(luò)攻擊和安全事件，其中三分之一起源于美國(guó)。您如何保護(hù)您的業(yè)務(wù)和信息資產(chǎn)免受安全事件的影響？解決方案是制定戰(zhàn)略計(jì)劃，對(duì)信息安全風(fēng)險(xiǎn)管理做出承諾。

什么是信息安全風(fēng)險(xiǎn)管理？定義

信息安全風(fēng)險(xiǎn)管理 (ISRM) 是管理與使用信息技術(shù)相關(guān)的風(fēng)險(xiǎn)的過程。

換句話說，組織需要：

• 識(shí)別安全風(fēng)險(xiǎn)，包括計(jì)算機(jī)安全風(fēng)險(xiǎn)的類型。
• 確定關(guān)鍵資產(chǎn)的業(yè)務(wù)“系統(tǒng)所有者”。
• 評(píng)估企業(yè)風(fēng)險(xiǎn)承受能力和可接受的風(fēng)險(xiǎn)。
• 制定網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃。

建立您的 風(fēng)險(xiǎn)管理策略

風(fēng)險(xiǎn)評(píng)估

您的風(fēng)險(xiǎn)概況包括對(duì)所有信息系統(tǒng)的分析和對(duì)您業(yè)務(wù)威脅的確定：

• 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
• 數(shù)據(jù)和 IT 安全風(fēng)險(xiǎn)
• 現(xiàn)有的組織安全控制

全面的 IT 安全評(píng)估包括數(shù)據(jù)風(fēng)險(xiǎn)、數(shù)據(jù)庫(kù)安全問題分析、數(shù)據(jù)泄露的可能性、網(wǎng)絡(luò)和物理漏洞。

風(fēng)險(xiǎn)處理

通過多種方法修復(fù)漏洞所采取的行動(dòng)：

• 風(fēng)險(xiǎn)接受
• 風(fēng)險(xiǎn)規(guī)避
• 風(fēng)險(xiǎn)管理
• 事件管理
• 事件響應(yīng)計(jì)劃

開發(fā)企業(yè)解決方案需要對(duì)企業(yè)信息系統(tǒng)的安全威脅進(jìn)行全面分析。風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理是迭代過程，需要在您的業(yè)務(wù)的多個(gè)領(lǐng)域投入資源：人力資源、IT、法律、公共關(guān)系等。并非所有在風(fēng)險(xiǎn)評(píng)估中識(shí)別的風(fēng)險(xiǎn)都會(huì)在風(fēng)險(xiǎn)處理中得到解決。有些將被確定為可接受或低影響的風(fēng)險(xiǎn)，不需要立即制定治療計(jì)劃。您的信息安全風(fēng)險(xiǎn)評(píng)估有多個(gè)階段需要解決。

安全風(fēng)險(xiǎn)評(píng)估的 6 個(gè)階段

美國(guó)商務(wù)部國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST)提供了采用風(fēng)險(xiǎn)管理框架的有用指南。該自愿框架概述了可能適用于您的業(yè)務(wù)的 ISRM 計(jì)劃的各個(gè)階段。

1. 識(shí)別——數(shù)據(jù)風(fēng)險(xiǎn)分析

此階段是識(shí)別您的數(shù)字資產(chǎn)的過程，其中可能包含各種信息：

必須根據(jù) Sarbanes-OxleyHealthcare 記錄控制的財(cái)務(wù)信息，要求通過應(yīng)用《健康保險(xiǎn)流通與責(zé)任法案》（HIPAA ）保密

公司機(jī)密信息，例如產(chǎn)品開發(fā)和商業(yè)秘密

可能使員工面臨身份盜竊法規(guī)等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的人員數(shù)據(jù)

對(duì)于那些處理信用卡交易的人，符合 支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)

在此階段，您不僅要評(píng)估數(shù)據(jù)丟失或被盜的潛在風(fēng)險(xiǎn)，還要確定要采取的步驟的優(yōu)先級(jí)，以盡量減少或避免與每種數(shù)據(jù)類型相關(guān)的風(fēng)險(xiǎn)。

識(shí)別階段的結(jié)果是了解您的主要信息安全風(fēng)險(xiǎn)，并評(píng)估您已經(jīng)采取的任何控制措施以減輕這些風(fēng)險(xiǎn)。此階段的分析揭示了以下數(shù)據(jù)安全問題：

潛在威脅——物理、環(huán)境、技術(shù)和人員相關(guān)

控制措施已經(jīng)到位——安全的強(qiáng)密碼、物理安全、技術(shù)的使用、網(wǎng)絡(luò)訪問

應(yīng)該或必須保護(hù)和控制的數(shù)據(jù)資產(chǎn)

這包括按保密級(jí)別、合規(guī)性法規(guī)、財(cái)務(wù)風(fēng)險(xiǎn)和可接受的風(fēng)險(xiǎn)級(jí)別對(duì)安全風(fēng)險(xiǎn)管理數(shù)據(jù)進(jìn)行分類。

2. 保護(hù)——資產(chǎn)管理

一旦您意識(shí)到自己的安全風(fēng)險(xiǎn)，您就可以采取措施保護(hù)這些資產(chǎn)。

這包括各種流程，從實(shí)施安全策略到安裝提供高級(jí)數(shù)據(jù)風(fēng)險(xiǎn)管理功能的復(fù)雜軟件。

• 培訓(xùn)員工正確處理機(jī)密信息的安全意識(shí)。
• 實(shí)施訪問控制，以便只有真正需要信息的人才能訪問。
• 定義所需的安全控制措施，以最大限度地減少安全事件的風(fēng)險(xiǎn)。
• 對(duì)于每個(gè)已識(shí)別的風(fēng)險(xiǎn)，建立相應(yīng)的業(yè)務(wù)“所有者”以獲得對(duì)提議的控制和風(fēng)險(xiǎn)承受能力的支持。
• 創(chuàng)建信息安全官職位，重點(diǎn)關(guān)注數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)緩解。

3. 實(shí)施

您的實(shí)施階段包括采用正式政策和數(shù)據(jù)安全控制。

這些控制將包括各種數(shù)據(jù)管理風(fēng)險(xiǎn)方法：

• 審查已識(shí)別的安全威脅和現(xiàn)有控制
• 為威脅檢測(cè)和遏制創(chuàng)建新的控制措施
• 選擇網(wǎng)絡(luò)安全工具來分析實(shí)際威脅和企圖威脅
• 安裝和實(shí)施用于警報(bào)和捕獲未經(jīng)授權(quán)訪問的技術(shù)

4. 安全控制評(píng)估

您的企業(yè)采用的現(xiàn)有和新的安全控制措施都應(yīng)接受定期審查。

• 驗(yàn)證警報(bào)是否路由到正確的資源以便立即采取行動(dòng)。
• 確保在添加或更新應(yīng)用程序時(shí)進(jìn)行持續(xù)的數(shù)據(jù)風(fēng)險(xiǎn)分析。
• 應(yīng)定期測(cè)試網(wǎng)絡(luò)安全措施的有效性。如果您的組織包括審計(jì)職能，是否已審查和批準(zhǔn)控制？
• 是否采訪了數(shù)據(jù)業(yè)務(wù)所有者（利益相關(guān)者）以確保風(fēng)險(xiǎn)管理解決方案是可接受的？它們是否適合相關(guān)的漏洞？

5.信息安全系統(tǒng)授權(quán)

既然您已經(jīng)全面了解了您的關(guān)鍵數(shù)據(jù)、定義了威脅并為您的安全管理流程建立了控制，那么您如何確保其有效性？

授權(quán)階段將幫助您做出此決定：

• 是否已將持續(xù)的威脅通知給正確的人？這是否及時(shí)完成？
• 查看您的控件生成的警報(bào)——電子郵件、文檔、圖表等。誰在跟蹤對(duì)警告的響應(yīng)？

這個(gè)授權(quán)階段不僅要檢查誰被告知，還要檢查采取了哪些行動(dòng)，以及采取多快的行動(dòng)。當(dāng)您的數(shù)據(jù)存在風(fēng)險(xiǎn)時(shí)，反應(yīng)時(shí)間對(duì)于最大程度地減少數(shù)據(jù)被盜或丟失至關(guān)重要。

6. 風(fēng)險(xiǎn)監(jiān)控

采用信息風(fēng)險(xiǎn)管理框架對(duì)于為您的技術(shù)資產(chǎn)提供安全環(huán)境至關(guān)重要。

實(shí)施復(fù)雜的軟件驅(qū)動(dòng)的控制和警報(bào)管理系統(tǒng)是風(fēng)險(xiǎn)處理計(jì)劃的有效部分。

持續(xù)監(jiān)測(cè)和分析至關(guān)重要。網(wǎng)絡(luò)竊賊每天都在開發(fā)攻擊您的網(wǎng)絡(luò)和數(shù)據(jù)倉(cāng)庫(kù)的新方法。為了跟上這種猛烈的活動(dòng)，您必須定期重新訪問您的報(bào)告、警報(bào)和指標(biāo)。

創(chuàng)建有效的安全風(fēng)險(xiǎn)管理計(jì)劃

擊敗網(wǎng)絡(luò)犯罪分子和阻止內(nèi)部威脅是一個(gè)具有挑戰(zhàn)性的過程。為您的企業(yè)風(fēng)險(xiǎn)管理帶來數(shù)據(jù)完整性和可用性對(duì)于您的員工、客戶和股東來說至關(guān)重要。創(chuàng)建您的風(fēng)險(xiǎn)管理流程并采取戰(zhàn)略措施，使數(shù)據(jù)安全成為開展業(yè)務(wù)的基本組成部分。

總之，最佳實(shí)踐包括：

• 實(shí)施技術(shù)解決方案，在數(shù)據(jù)受到威脅之前檢測(cè)和消除威脅。
• 建立問責(zé)制安全辦公室。
• 確保遵守安全策略。
• 使數(shù)據(jù)分析成為 IT 和業(yè)務(wù)利益相關(guān)者之間的協(xié)作工作。
• 確保警報(bào)和報(bào)告有意義且有效路由。

進(jìn)行完整的 IT 安全評(píng)估和管理企業(yè)風(fēng)險(xiǎn)對(duì)于識(shí)別漏洞問題至關(guān)重要。制定全面的信息安全方法。