您的關鍵任務數據、客戶信息和人事記錄是否免受網絡犯罪分子、黑客甚至內部濫用或破壞的入侵？如果您確信您的數據是安全的，其他公司也有同樣的感覺：

• Target 是美國最大的零售商之一，在 2013 年成為大規模網絡攻擊的受害者，1.1 億客戶的個人信息和 4000 萬條銀行記錄被泄露。這對公司的形象造成了長期損害，并支付了超過 1800 萬美元的和解金。
• 著名的信貸公司 Equifax 在 2017 年 7 月被發現，歷時數月遭到攻擊。網絡竊賊竊取了超過 1.43 億客戶的敏感數據和 200,000 個信用卡號碼。

這些只是導致大量罰款和和解的高度公開攻擊的例子。更何況，對品牌形象和公眾認知的損害。卡巴斯基實驗室的網絡安全研究顯示，2018 年全球發生 7.58 億次惡意網絡攻擊和安全事件，其中三分之一起源于美國。您如何保護您的業務和信息資產免受安全事件的影響？解決方案是制定戰略計劃，對信息安全風險管理做出承諾。

什么是信息安全風險管理？定義

信息安全風險管理 (ISRM) 是管理與使用信息技術相關的風險的過程。

換句話說，組織需要：

• 識別安全風險，包括計算機安全風險的類型。
• 確定關鍵資產的業務“系統所有者”。
• 評估企業風險承受能力和可接受的風險。
• 制定網絡安全事件響應計劃。

建立您的 風險管理策略

風險評估

您的風險概況包括對所有信息系統的分析和對您業務威脅的確定：

• 網絡安全風險
• 數據和 IT 安全風險
• 現有的組織安全控制

全面的 IT 安全評估包括數據風險、數據庫安全問題分析、數據泄露的可能性、網絡和物理漏洞。

風險處理

通過多種方法修復漏洞所采取的行動：

• 風險接受
• 風險規避
• 風險管理
• 事件管理
• 事件響應計劃

開發企業解決方案需要對企業信息系統的安全威脅進行全面分析。風險評估和風險處理是迭代過程，需要在您的業務的多個領域投入資源：人力資源、IT、法律、公共關系等。并非所有在風險評估中識別的風險都會在風險處理中得到解決。有些將被確定為可接受或低影響的風險，不需要立即制定治療計劃。您的信息安全風險評估有多個階段需要解決。

安全風險評估的 6 個階段

美國商務部國家標準與技術研究院 (NIST)提供了采用風險管理框架的有用指南。該自愿框架概述了可能適用于您的業務的 ISRM 計劃的各個階段。

1. 識別——數據風險分析

此階段是識別您的數字資產的過程，其中可能包含各種信息：

必須根據 Sarbanes-OxleyHealthcare 記錄控制的財務信息，要求通過應用《健康保險流通與責任法案》（HIPAA ）保密

公司機密信息，例如產品開發和商業秘密

可能使員工面臨身份盜竊法規等網絡安全風險的人員數據

對于那些處理信用卡交易的人，符合 支付卡行業數據安全標準(PCI DSS)

在此階段，您不僅要評估數據丟失或被盜的潛在風險，還要確定要采取的步驟的優先級，以盡量減少或避免與每種數據類型相關的風險。

識別階段的結果是了解您的主要信息安全風險，并評估您已經采取的任何控制措施以減輕這些風險。此階段的分析揭示了以下數據安全問題：

潛在威脅——物理、環境、技術和人員相關

控制措施已經到位——安全的強密碼、物理安全、技術的使用、網絡訪問

應該或必須保護和控制的數據資產

這包括按保密級別、合規性法規、財務風險和可接受的風險級別對安全風險管理數據進行分類。

2. 保護——資產管理

一旦您意識到自己的安全風險，您就可以采取措施保護這些資產。

這包括各種流程，從實施安全策略到安裝提供高級數據風險管理功能的復雜軟件。

• 培訓員工正確處理機密信息的安全意識。
• 實施訪問控制，以便只有真正需要信息的人才能訪問。
• 定義所需的安全控制措施，以最大限度地減少安全事件的風險。
• 對于每個已識別的風險，建立相應的業務“所有者”以獲得對提議的控制和風險承受能力的支持。
• 創建信息安全官職位，重點關注數據安全風險評估和風險緩解。

3. 實施

您的實施階段包括采用正式政策和數據安全控制。

這些控制將包括各種數據管理風險方法：

• 審查已識別的安全威脅和現有控制
• 為威脅檢測和遏制創建新的控制措施
• 選擇網絡安全工具來分析實際威脅和企圖威脅
• 安裝和實施用于警報和捕獲未經授權訪問的技術

4. 安全控制評估

您的企業采用的現有和新的安全控制措施都應接受定期審查。

• 驗證警報是否路由到正確的資源以便立即采取行動。
• 確保在添加或更新應用程序時進行持續的數據風險分析。
• 應定期測試網絡安全措施的有效性。如果您的組織包括審計職能，是否已審查和批準控制？
• 是否采訪了數據業務所有者（利益相關者）以確保風險管理解決方案是可接受的？它們是否適合相關的漏洞？

5.信息安全系統授權

既然您已經全面了解了您的關鍵數據、定義了威脅并為您的安全管理流程建立了控制，那么您如何確保其有效性？

授權階段將幫助您做出此決定：

• 是否已將持續的威脅通知給正確的人？這是否及時完成？
• 查看您的控件生成的警報——電子郵件、文檔、圖表等。誰在跟蹤對警告的響應？

這個授權階段不僅要檢查誰被告知，還要檢查采取了哪些行動，以及采取多快的行動。當您的數據存在風險時，反應時間對于最大程度地減少數據被盜或丟失至關重要。

6. 風險監控

采用信息風險管理框架對于為您的技術資產提供安全環境至關重要。

實施復雜的軟件驅動的控制和警報管理系統是風險處理計劃的有效部分。

持續監測和分析至關重要。網絡竊賊每天都在開發攻擊您的網絡和數據倉庫的新方法。為了跟上這種猛烈的活動，您必須定期重新訪問您的報告、警報和指標。

創建有效的安全風險管理計劃

擊敗網絡犯罪分子和阻止內部威脅是一個具有挑戰性的過程。為您的企業風險管理帶來數據完整性和可用性對于您的員工、客戶和股東來說至關重要。創建您的風險管理流程并采取戰略措施，使數據安全成為開展業務的基本組成部分。

總之，最佳實踐包括：

• 實施技術解決方案，在數據受到威脅之前檢測和消除威脅。
• 建立問責制安全辦公室。
• 確保遵守安全策略。
• 使數據分析成為 IT 和業務利益相關者之間的協作工作。
• 確保警報和報告有意義且有效路由。

進行完整的 IT 安全評估和管理企業風險對于識別漏洞問題至關重要。制定全面的信息安全方法。