網(wǎng)絡(luò)安全風(fēng)險管理

網(wǎng)絡(luò)安全風(fēng)險管理網(wǎng)絡(luò)安全風(fēng)險管理全文共21頁，當(dāng)前為第1頁。網(wǎng)絡(luò)安全風(fēng)險管理方法論網(wǎng)絡(luò)安全風(fēng)險管理全文共21頁，當(dāng)前為第2頁。網(wǎng)絡(luò)安全風(fēng)險管理的必要性重點關(guān)注內(nèi)容網(wǎng)絡(luò)安全風(fēng)險識別開發(fā)與企業(yè)風(fēng)險管理框架相一致的綜合網(wǎng)絡(luò)風(fēng)險管理框架通過要求批準(zhǔn)和認(rèn)證信息安全計劃、政策和標(biāo)準(zhǔn)

建立高級管理層和董,會責(zé)任制增強(qiáng)操作要求和管控

如加密和多因素身份驗證網(wǎng)絡(luò)安全態(tài)勢全球監(jiān)管機(jī)構(gòu)已將網(wǎng)絡(luò)風(fēng)險管理的主題置于日益嚴(yán)格的審查之下

要求各個機(jī)構(gòu)評估其網(wǎng)絡(luò)安全計劃的成熟程度

管理網(wǎng)絡(luò)風(fēng)險

并增強(qiáng)抵御網(wǎng)絡(luò)攻擊的能力。戰(zhàn)略方針雖然各組織必須遵守每個管理機(jī)構(gòu)提出的各種條例

但它們提:的指導(dǎo)大體上是一致的。因此

組織應(yīng)采取T于風(fēng)險的方法

滿足所有相關(guān)的法規(guī)要求

保護(hù)其“核心業(yè)I”與敏感和關(guān)鍵級別相匹配。網(wǎng)絡(luò)風(fēng)險管理的戰(zhàn)略方法可以幫助組織

全面了解網(wǎng)絡(luò)風(fēng)險、其組織和其他機(jī)構(gòu)面臨的威脅根據(jù)相關(guān)的法規(guī)要求評估現(xiàn)有

IT

和網(wǎng)絡(luò)安全計劃和能力將網(wǎng)絡(luò)安全和

IT

轉(zhuǎn)換計劃與戰(zhàn)略目標(biāo)和關(guān)鍵風(fēng)險相匹配理解接受的風(fēng)險和記錄的補(bǔ)償控制評測認(rèn)證機(jī)制檢測預(yù)警與應(yīng)急安全審查制度等級保護(hù)制度.1I

巨要

求網(wǎng)絡(luò)安全風(fēng)險管理全文共21頁，當(dāng)前為第3頁。網(wǎng)絡(luò)安全風(fēng)險管理思路企業(yè)現(xiàn)況：隨著網(wǎng)絡(luò)威脅格局的日益復(fù)雜化和網(wǎng)絡(luò)犯罪的加劇

3業(yè)的經(jīng)營風(fēng)險也隨之增加。4統(tǒng)的組織缺,一種有效的網(wǎng)絡(luò)風(fēng)險管理模型。因此

網(wǎng)絡(luò)風(fēng)險管理經(jīng)常與更廣泛的風(fēng)險管理框架保持某種脫節(jié)。組織必須制定領(lǐng):的風(fēng)險管理框架并與組織內(nèi)的其他主要利益攸關(guān)方協(xié)作

以防止網(wǎng)絡(luò)成為一個棘手的問題可能對整個3業(yè)造成不可挽回的損害。解決方案：為.建立一個強(qiáng)健的網(wǎng)絡(luò)風(fēng)險管理計劃

我1建議執(zhí)行管理層采取以下步驟

1

展開現(xiàn)有三道防線模型管理網(wǎng)絡(luò)風(fēng)險

明確建立和界定網(wǎng)絡(luò)風(fēng)險管理的角色、責(zé)2和崗位職責(zé)2

完善網(wǎng)絡(luò)風(fēng)險治理三道防線的目標(biāo)運行模式3

在3業(yè)范圍內(nèi)整合網(wǎng)絡(luò)風(fēng)險風(fēng)險評估框架

自識別影響關(guān)鍵業(yè)&流程和資產(chǎn)的網(wǎng)絡(luò)威脅4

識別和報告重要的度量標(biāo)準(zhǔn)Line1st2nd

Line3rdLine風(fēng)險承擔(dān)者＆風(fēng)險管理員風(fēng)險監(jiān)督風(fēng)險控制網(wǎng)絡(luò)安全風(fēng)險管理全文共21頁，當(dāng)前為第4頁。網(wǎng)絡(luò)安全風(fēng)險管理框架10我們根據(jù)網(wǎng)絡(luò)安全風(fēng)險管理框架設(shè)計出企業(yè)執(zhí)行落地方案

執(zhí)行管理團(tuán)隊

業(yè)務(wù)線風(fēng)險管理媒體關(guān)系風(fēng)險操作團(tuán)隊欺詐管理刑事調(diào)查網(wǎng)絡(luò)安全業(yè)務(wù)連續(xù)性風(fēng)險監(jiān)管委員會風(fēng)險治理委員會網(wǎng)絡(luò)安全風(fēng)險管理風(fēng)險管理辦.室了解組織邊界確定關(guān)鍵業(yè)務(wù)流程和資產(chǎn)計劃和事件響應(yīng)風(fēng)險操作團(tuán)隊確定威脅關(guān)鍵供應(yīng)商、供應(yīng)商和外包業(yè)務(wù)合作伙伴 客戶收入來源風(fēng)險承受能力定義復(fù)原計劃響應(yīng)策略風(fēng)險控制風(fēng)險評估風(fēng)險監(jiān)控風(fēng)險報告關(guān)鍵信息資產(chǎn)關(guān)鍵業(yè)務(wù)流程威脅識別威脅監(jiān)視威脅報告威脅分析風(fēng)險識別風(fēng)險方案識別、評估和管理風(fēng)險網(wǎng)絡(luò)安全風(fēng)險管理全文共21頁，當(dāng)前為第5頁。主動網(wǎng)絡(luò)安全風(fēng)險管理技術(shù)主動網(wǎng)絡(luò)安全風(fēng)險管理計劃模擬和排練確定關(guān)鍵資產(chǎn)如果被盜、泄露或不當(dāng)使用，

將給企業(yè)造成極大的困難業(yè)務(wù)風(fēng)險標(biāo)識和網(wǎng)絡(luò)威脅處理定義風(fēng)險容忍度根據(jù)業(yè)務(wù)類型為其組織定義適當(dāng)?shù)娘L(fēng)險容忍級別確定保護(hù)級別定義資,所有權(quán)

在接受和減輕風(fēng)險方面定義風(fēng)險管理采取計劃和排練的預(yù)防措施，

以縮短其持續(xù)時間并減少對組織的損害方案規(guī)劃確定最大網(wǎng)絡(luò)風(fēng)險并對業(yè)務(wù)和開發(fā)方案進(jìn)行調(diào)整加強(qiáng)持續(xù)的監(jiān)測和報告工作網(wǎng)絡(luò)風(fēng)險運營團(tuán)隊搭建專業(yè)風(fēng)險運營團(tuán)隊，能夠根據(jù)事件類型進(jìn)行動態(tài)調(diào)整實時風(fēng)險數(shù)據(jù)分析收集和分析相關(guān)威脅數(shù)據(jù)來自內(nèi)部和外部來源實時風(fēng)險控制措施網(wǎng)絡(luò)風(fēng)險管理小組決定要實施的適當(dāng)控制，這是保持一致性的關(guān)鍵。主動響應(yīng)緩解計劃確定哪些過程、工具和技術(shù)可用于處理網(wǎng)絡(luò)攻;，以及在每個場景中的影響制定響應(yīng)計劃循序漸進(jìn)，

盡快使業(yè)務(wù)恢復(fù)正常的計劃設(shè)計確定所需資源定義所需的內(nèi)容自在每個場景中處理網(wǎng)絡(luò)攻;的影響實施威脅響應(yīng)方案預(yù)演初步差距分析與風(fēng)險管理進(jìn)行差距分析，

找出潛在的弱寺和潛在的暴露領(lǐng)域網(wǎng)絡(luò)安全風(fēng)險管理全文共21頁，當(dāng)前為第6頁。網(wǎng)絡(luò)安全風(fēng)險管理量化S法分配資產(chǎn)/值計算暴露因子計算單一損A期望評/年發(fā)生比率算出年度損A期望O行E策的成本／R益分析列出資產(chǎn)清單和分配資產(chǎn)/值研究每項資產(chǎn)，生成每個資產(chǎn)所有可能威脅的列表。針E列出的每個威脅，計算出暴露因子(EF)和單一損A期望(SLE)O行威脅分析，計算每種風(fēng)險在一年內(nèi)發(fā)生的可能性，也F是年發(fā)生比率(ARO)通過計算年度損A期望(ALE)，得到每個威脅可能的L損A研究每個威脅的E策，然后基于應(yīng)用的E策，計算ARO和ALE的變化針E每個資產(chǎn)的每個威脅的每個E策O行成本／R益分析，選擇每個威脅最適用的E策網(wǎng)絡(luò)安全風(fēng)險管理全文共21頁，當(dāng)前為第7頁。分配資產(chǎn)價值識別出需要進(jìn)行風(fēng)險評估的資產(chǎn)清單對清單上的資產(chǎn)進(jìn)行價值評估分配資產(chǎn)價值計算暴露因子計算單一/失期望評價年發(fā)生比率算出年度/失期望執(zhí)行對策的成本／效益分析網(wǎng)絡(luò)安全風(fēng)險管理全文共21頁，當(dāng)前為第8頁。計算暴露因子分配資產(chǎn)價值計算暴露因子計算單一/失期望評價年發(fā)生比率算出年度/失期望執(zhí)行對策的成本／效益分析暴露因子（EF

)表組織的某種特定資(被已實施的風(fēng)險損壞所造成損失的百分比。EF還稱為潛在損失。大多數(shù)謂況下，已實施的風(fēng)險不會造成資(的全部損失。EF

簡單地表示在發(fā)生單個風(fēng)險時全部資(價值損失的預(yù)計值。EF

通常較F（E于容易被替換的資(，例如硬件

，但也可以很大（E于不能替換的或?qū)Ｓ玫馁Y(，

例如(品設(shè)計或客戶數(shù)據(jù)庫

。EF

被表示為百分?jǐn)?shù)。網(wǎng)絡(luò)安全風(fēng)險管理全文共21頁，當(dāng)前為第9頁。分配資產(chǎn)價值計算暴露因子計算單一/失期望評價年發(fā)生比率算出年度/失期望執(zhí)行對策的成本／效益分析計算單一/失期望計F單一損失期望(SLE

時需L(用EF。單一損失期望(SLE是與針對特定資產(chǎn)的單個已實施S險相關(guān)聯(lián)的成本。如果某個資產(chǎn)被特定威脅損害，SLE

計F對組織造成的E切損失。計FSLE時，可以(用)式：SLE=資產(chǎn)價值＊暴露因子網(wǎng)絡(luò)安全風(fēng)險管理全文共21頁，當(dāng)前為第10頁。分配資產(chǎn)價值計算暴露因子計算單一/失期望評價年發(fā)生比率算出年度/失期望執(zhí)行對策的成本／效益分析評價年發(fā)生比率年發(fā)生比率（ARO）指的是特定威脅或風(fēng)險在一年.將會發(fā)生（也A是稱為現(xiàn)實）的預(yù)計頻率。ARO的范圍為數(shù)值0.0（表示威脅或風(fēng)險R遠(yuǎn)不會發(fā)生）到一個非常大的數(shù)（表示威脅或風(fēng)險經(jīng)常發(fā)生）。ARO的計算可能非常復(fù)雜，可以從歷史記錄、統(tǒng)計分O或猜測數(shù)據(jù)中推導(dǎo)0來。ARO的計算也被稱為概率測定。通過將單個威脅發(fā)生的概率與引起威脅的用戶個數(shù)相乘，A可以算0幾個威脅或風(fēng)險的ARO。網(wǎng)絡(luò)安全風(fēng)險管理全文共21頁，當(dāng)前為第11頁。分配資產(chǎn)價值計算暴露因子計算單一/失期望評價年發(fā)生比率算出年度/失期望執(zhí)行對策的成本／效益分析算出年度/失期望年度損失期望(ALE)指的是針對某種特定的E產(chǎn)，所有已實施的威脅每年可能造成的損失成本。計AALE時可以使用公式：ALE=單一損失期*(SLE)*年發(fā)生比率(ARO)網(wǎng)絡(luò)安全風(fēng)險管理全文共21頁，當(dāng)前為第12頁。分配資產(chǎn)價值計算暴露因子計算單一/失期望評價年發(fā)生比率算出年度/失期望執(zhí)行對策的成本／效益分析執(zhí)行對策的成本／效益分析首先需要計算防護(hù)措施成本，評估每個特定風(fēng)險的防護(hù)措施或?qū)Σ?。最后計算成本／效益，用千確定某個防護(hù)措施是否能夠通過較低成本真正改/安全性?？梢允褂孟旅婀剑菏褂梅雷o(hù)措施前的ALE-使用防護(hù)措施后的ALE-防護(hù)措施的年度成-＝公司防護(hù)措施的價值如果結(jié)果是負(fù)數(shù)，那么這個防護(hù)措施就不值得選擇。如果是正數(shù)，那么這個結(jié)果就是組織部署防護(hù)措施之后每年節(jié)省下來的錢。網(wǎng)絡(luò)安全風(fēng)險管理全文共21頁，當(dāng)前為第13頁。網(wǎng)絡(luò)安全風(fēng)險管理量化案例Sample/配資產(chǎn)-值(AV)計算暴露因子(EF)計算單一損失FE(SLE)年發(fā)生比L(ARO)計算年度損失FE(ALE)=V對策的成本／AO/析SLE=AV*EFALE=SLE*ARO公*防護(hù)措施的價值＝前ALE-后ALE-防護(hù)年度成本如果結(jié)果是負(fù)數(shù)，那么這個防護(hù)措施就不值得選擇。如果是正數(shù)，那么這個結(jié)果就是RS部署防護(hù)措施之后每年節(jié)省下來的錢。網(wǎng)絡(luò)安全風(fēng)險管理全文共21頁，當(dāng)前為第14頁。網(wǎng)絡(luò)安全風(fēng)險處置網(wǎng)絡(luò)安全風(fēng)險管理全文共21頁，當(dāng)前為第15頁。網(wǎng)絡(luò)安全風(fēng)險處置分類降低風(fēng)險是一種消除脆弱性或組織威脅的防護(hù)措施的實施。選取最劃算或性價比最好的控制對風(fēng)險進(jìn)行緩解、降低。接受風(fēng)險是管理層對可能采用／效益分析評估，并且確定對策的成本遠(yuǎn)遠(yuǎn)超過風(fēng)險可能造成的損失的成本。轉(zhuǎn)移風(fēng)險是把風(fēng)險帶來的損失轉(zhuǎn)嫁給另外一個實體或組織。購買保險和外/就是風(fēng)險轉(zhuǎn)移的常見形式。最好的風(fēng)險管理策略是避免／消除所有風(fēng)險。企業(yè)管理層及風(fēng)險管理人員一直致力千避免／消除所有風(fēng)險。通常做法是避免執(zhí)行有風(fēng)險的項目或流程，或通過控制授權(quán)消除所有風(fēng)險。風(fēng)險處置網(wǎng)絡(luò)安全風(fēng)險管理全文共21頁，當(dāng)前為第16頁。網(wǎng)絡(luò)安全風(fēng)險處置

降低風(fēng)險風(fēng)險處置降低風(fēng)險是致力于通過控制措施及相關(guān)解決方案來盡量降低潛在風(fēng)險發(fā)生的影響。通常謂況下，我們是能接/這些控制措施不能完全消除風(fēng)險帶來的所有影響。在做風(fēng)險分析師，通過計算成本／效益值來確定控制成本是否是符合效益的，來最終決定對風(fēng)險所做出的控制。網(wǎng)絡(luò)安全風(fēng)險管理全文共21頁，當(dāng)前為第17頁。網(wǎng)絡(luò)安全風(fēng)險處置

接受風(fēng)險風(fēng)險處置為了達(dá)到某個業(yè)務(wù)目標(biāo)，在風(fēng)險容忍度在接受范圍之內(nèi)，企業(yè)管理層及風(fēng)險管理人員選擇接受風(fēng)險。通常，此類風(fēng)險對業(yè)務(wù)影響不大，或影響雖然大，但發(fā)生頻率極低，又或者控制措施成本過高。網(wǎng)絡(luò)安全風(fēng)險管理全文共21頁，當(dāng)前為第18頁。網(wǎng)絡(luò)安全風(fēng)險處置

轉(zhuǎn)移風(fēng)險風(fēng)險處置轉(zhuǎn)移風(fēng)險是指由其他第三方來承受風(fēng)險。保險是轉(zhuǎn)