▌風(fēng)險(xiǎn)識(shí)別

信息科技風(fēng)險(xiǎn)識(shí)別是指對(duì)企業(yè)具有脆弱性、可能受到威脅侵害、需要保護(hù)的信息技術(shù)、資源或資產(chǎn)進(jìn)行識(shí)別和分類，并對(duì)相關(guān)的威脅和脆弱性進(jìn)行確認(rèn)的過(guò)程。信息科技風(fēng)險(xiǎn)具有一定的可變性，風(fēng)險(xiǎn)識(shí)別是一項(xiàng)持續(xù)性和系統(tǒng)性的工作，各級(jí)相關(guān)部門(mén)應(yīng)密切注意原有風(fēng)險(xiǎn)的變化，并隨時(shí)發(fā)現(xiàn)新的風(fēng)險(xiǎn)。

一般性的風(fēng)險(xiǎn)識(shí)別方法可以包含如下幾個(gè)方面：威脅建模、風(fēng)險(xiǎn)庫(kù)維護(hù)、有償探測(cè)、頭腦風(fēng)暴等。

威脅建模是一種較高級(jí)別的風(fēng)險(xiǎn)識(shí)別與分析方法，是基于業(yè)務(wù)場(chǎng)景、信息資產(chǎn)的敏感度、信息技術(shù)的可靠性等要素進(jìn)行分析，進(jìn)而判定可能的風(fēng)險(xiǎn)的來(lái)源、威脅對(duì)象、觸發(fā)條件、影響程度，一般要通過(guò)鎖定一定的信息資產(chǎn)的范圍，梳理信息資產(chǎn)提供的IT服務(wù)屬性和業(yè)務(wù)邏輯，開(kāi)展必要的建模工作，再加上安全專家的經(jīng)驗(yàn)，就可以識(shí)別出各個(gè)關(guān)鍵資產(chǎn)所面臨的可能性威脅和存在的各種漏洞了。

風(fēng)險(xiǎn)庫(kù)維護(hù)是一種比較常見(jiàn)的識(shí)別方法，也就是通過(guò)日積月累的收集和標(biāo)記各種場(chǎng)景下發(fā)生的信息科技風(fēng)險(xiǎn)，來(lái)識(shí)別風(fēng)險(xiǎn)來(lái)源、觸發(fā)條件、威脅對(duì)象、脆弱點(diǎn)、影響程度等信息，并同時(shí)可以借鑒之前的有效經(jīng)驗(yàn)，進(jìn)行應(yīng)急防控措施和預(yù)案的部署。現(xiàn)在很多企業(yè)都建立了自身風(fēng)險(xiǎn)庫(kù)，利用各種互聯(lián)網(wǎng)資源，例如社群、論壇等工具，實(shí)時(shí)跟進(jìn)類似企業(yè)的風(fēng)險(xiǎn)發(fā)生場(chǎng)景，并基于內(nèi)部已有的風(fēng)險(xiǎn)發(fā)生場(chǎng)景，主動(dòng)開(kāi)展風(fēng)險(xiǎn)的定期的維護(hù)和識(shí)別管理。

有償探測(cè)是一種風(fēng)險(xiǎn)管理外包活動(dòng)，也就是聘用專業(yè)化的機(jī)構(gòu)和風(fēng)險(xiǎn)管理專家，利用他們的經(jīng)驗(yàn)庫(kù)進(jìn)行自身信息資產(chǎn)的防護(hù)工作，由他們基于專業(yè)性的工具、技術(shù)和資源，從外部或者定期授權(quán)到內(nèi)部進(jìn)行風(fēng)險(xiǎn)診斷和探測(cè)工作。

頭腦風(fēng)暴方法是基于各種專業(yè)化人員對(duì)于自身工作和信息資產(chǎn)的熟悉情況，加上信息安全專家對(duì)于風(fēng)險(xiǎn)管理知識(shí)的介紹，大家開(kāi)展的信息科技風(fēng)險(xiǎn)識(shí)別方法，該方法的好處就是通過(guò)專家自身的經(jīng)驗(yàn)進(jìn)行威脅和脆弱點(diǎn)識(shí)別，相對(duì)高效和準(zhǔn)確。缺點(diǎn)在于對(duì)于風(fēng)險(xiǎn)分析系統(tǒng)性和完整新是無(wú)法保障。

▌安全策略部署

基于風(fēng)險(xiǎn)管理的范圍和目標(biāo)，一般都會(huì)開(kāi)展風(fēng)險(xiǎn)管理策略的部署，安全策略一般分為預(yù)防性策略和應(yīng)急性策略。

預(yù)防性策略是針對(duì)所關(guān)注領(lǐng)域的風(fēng)險(xiǎn)進(jìn)行主動(dòng)性的安全漏洞探測(cè)和監(jiān)控，降低風(fēng)險(xiǎn)發(fā)生的可能性及其造成的影響。一般的預(yù)防行策略是在風(fēng)險(xiǎn)識(shí)別時(shí)就建立相關(guān)的風(fēng)險(xiǎn)指標(biāo)和風(fēng)險(xiǎn)屬性定義，以便于風(fēng)險(xiǎn)評(píng)估時(shí)進(jìn)行風(fēng)險(xiǎn)發(fā)生可性能的評(píng)估。

應(yīng)急性策略是針對(duì)預(yù)防性策略檢測(cè)出的可能性以及嚴(yán)重程度都較高的風(fēng)險(xiǎn)，甚至是已經(jīng)造成嚴(yán)重后果影響的風(fēng)險(xiǎn)，采取的應(yīng)急處置措施。一般的應(yīng)急性策略是要在風(fēng)險(xiǎn)識(shí)別時(shí)就建立風(fēng)險(xiǎn)閾值和應(yīng)急預(yù)案。 

安全策略的部署要同時(shí)考慮到風(fēng)險(xiǎn)防控成本與風(fēng)險(xiǎn)管理目標(biāo)之間的平衡性，說(shuō)的直接一些就是檢測(cè)風(fēng)險(xiǎn)和處置風(fēng)險(xiǎn)的代價(jià)，一般安全策略部署包含了安全監(jiān)控設(shè)施、安全處置場(chǎng)地、漏洞檢測(cè)工具、安全專家、運(yùn)營(yíng)管理費(fèi)用等等成本分類，而且安全運(yùn)營(yíng)也是長(zhǎng)期持久性的投入，所以來(lái)說(shuō)這些投入對(duì)于風(fēng)險(xiǎn)管理的目標(biāo)而言值不值當(dāng)呢？一般性的公司的安全策略部署原則應(yīng)該從經(jīng)濟(jì)性、科學(xué)性、創(chuàng)新性以及安全性幾個(gè)角度綜合考量。

▌風(fēng)險(xiǎn)評(píng)估

信息科技風(fēng)險(xiǎn)評(píng)估，是根據(jù)已識(shí)別的信息科技風(fēng)險(xiǎn)，包括識(shí)別的信息技術(shù)的脆弱點(diǎn)、受影響的信息資產(chǎn)、組織、資源等，對(duì)信息科技風(fēng)險(xiǎn)可能導(dǎo)致對(duì)企業(yè)的業(yè)務(wù)和聲譽(yù)影響進(jìn)行評(píng)估。風(fēng)險(xiǎn)評(píng)估范圍包含整體信息科技風(fēng)險(xiǎn)檢查評(píng)估、信息資產(chǎn)安全性風(fēng)險(xiǎn)檢查評(píng)估、專項(xiàng)信息科技風(fēng)險(xiǎn)檢查評(píng)估。風(fēng)險(xiǎn)評(píng)估的方法一般包含如下幾類：

1   ▏自我評(píng)估

企業(yè)應(yīng)定期通過(guò)風(fēng)險(xiǎn)評(píng)估和審計(jì)等方式對(duì)風(fēng)險(xiǎn)的發(fā)展與變化情況進(jìn)行持續(xù)監(jiān)測(cè)，并根據(jù)需要對(duì)風(fēng)險(xiǎn)應(yīng)對(duì)策略進(jìn)行調(diào)整。每年應(yīng)至少開(kāi)展一次整體信息科技風(fēng)險(xiǎn)檢查評(píng)估或者審計(jì)，至少組織一次信息資產(chǎn)風(fēng)險(xiǎn)檢查評(píng)估或者審計(jì)；并適時(shí)開(kāi)展專項(xiàng)信息科技風(fēng)險(xiǎn)檢查評(píng)估。大型的集團(tuán)性單位，應(yīng)要求各級(jí)法人單位每季度至少開(kāi)展一次I類自評(píng)估，每年至少開(kāi)展一次II類自評(píng)估。針對(duì)集團(tuán)大集中式的信息資產(chǎn)每年應(yīng)至少開(kāi)展一次III類自評(píng)估。

自我評(píng)估的工具一般也是包含了基于SOC（安全運(yùn)營(yíng)中心）的實(shí)質(zhì)性監(jiān)測(cè)式評(píng)估診斷活動(dòng)，或者基于風(fēng)險(xiǎn)管理制度的合規(guī)性經(jīng)驗(yàn)型評(píng)估診斷活動(dòng)。

2   ▏第三方評(píng)估

信息科技風(fēng)險(xiǎn)管理部每年應(yīng)至少開(kāi)展一次信息科技風(fēng)險(xiǎn)第三方評(píng)估。由第三方在企業(yè)授權(quán)的范圍內(nèi)，并使用經(jīng)過(guò)確認(rèn)的評(píng)估方法開(kāi)展相應(yīng)的評(píng)估工作，評(píng)估機(jī)構(gòu)應(yīng)本著客觀、公正、真實(shí)和自主的原則，開(kāi)展評(píng)估活動(dòng)，并嚴(yán)格保守在評(píng)估過(guò)程中獲悉的商業(yè)機(jī)密。針對(duì)第三方的評(píng)估工作，企業(yè)和評(píng)估機(jī)構(gòu)之間應(yīng)在評(píng)估過(guò)程中建立信息保密工作機(jī)制。

▌風(fēng)險(xiǎn)處置

當(dāng)預(yù)防性監(jiān)測(cè)發(fā)現(xiàn)了異常，就可以基于有效預(yù)防性分析指標(biāo)和控制基準(zhǔn)客觀的反應(yīng)威脅發(fā)生的可能性以及嚴(yán)重程度，便于安全運(yùn)營(yíng)人員及時(shí)采取措施進(jìn)行風(fēng)險(xiǎn)防范與處置，進(jìn)而實(shí)現(xiàn)大范圍的信息科技服務(wù)組件的安全運(yùn)營(yíng)。這些預(yù)防性的措施是要基于風(fēng)險(xiǎn)發(fā)生的可能性、可能發(fā)生位置、可能發(fā)生的場(chǎng)景進(jìn)行主動(dòng)型的深層關(guān)注和分析活動(dòng)，例如：有的是針對(duì)信息系統(tǒng)開(kāi)發(fā)環(huán)節(jié)的代碼漏洞檢測(cè)，有的是基于網(wǎng)絡(luò)非法入侵的主動(dòng)性偵測(cè)，還有的是針對(duì)外包人員的日常行為規(guī)范進(jìn)行約束等等。

一旦通過(guò)監(jiān)控和測(cè)試措施檢測(cè)閾值已經(jīng)觸及，就要啟動(dòng)風(fēng)險(xiǎn)計(jì)劃和應(yīng)急預(yù)案。這些應(yīng)急預(yù)案要面向風(fēng)險(xiǎn)發(fā)生時(shí)勢(shì)態(tài)的嚴(yán)重性，采取響應(yīng)的規(guī)避、減弱和接受措施。例如：當(dāng)業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)發(fā)生時(shí)要啟動(dòng)業(yè)務(wù)連續(xù)性計(jì)劃，建立應(yīng)急指揮中心，并啟動(dòng)應(yīng)急環(huán)境進(jìn)行應(yīng)急業(yè)務(wù)保障；當(dāng)偵測(cè)到軟件存在后門(mén)時(shí)，要采取必要的網(wǎng)絡(luò)隔離、代碼修補(bǔ)和反偵測(cè)工作等等；當(dāng)網(wǎng)絡(luò)遭受非法入侵，也要進(jìn)行必要的入侵路徑探測(cè)和非法行為攔截等等工作。

▌風(fēng)險(xiǎn)報(bào)告

風(fēng)險(xiǎn)報(bào)告也是企業(yè)科技風(fēng)險(xiǎn)管理過(guò)程中不容忽視的一個(gè)環(huán)節(jié)，風(fēng)險(xiǎn)報(bào)告指信息科技部門(mén)、風(fēng)險(xiǎn)管理部門(mén)和審計(jì)部門(mén)依據(jù)特定的格式和程序?qū)π畔⒖萍硷L(fēng)險(xiǎn)狀況進(jìn)行描述、分析和評(píng)價(jià)，并形成的信息科技風(fēng)險(xiǎn)報(bào)告，相關(guān)部門(mén)按照規(guī)定的報(bào)告路線進(jìn)行匯報(bào)。報(bào)告的內(nèi)容應(yīng)完整、客觀、清晰。

風(fēng)險(xiǎn)管理報(bào)告應(yīng)該作為企業(yè)信息服務(wù)運(yùn)行報(bào)告的一部分進(jìn)行呈現(xiàn)，它是反映企業(yè)風(fēng)險(xiǎn)管理活動(dòng)推進(jìn)過(guò)程和推進(jìn)成效的直接體現(xiàn)，報(bào)告應(yīng)分時(shí)間周期和風(fēng)險(xiǎn)類型進(jìn)行多種呈現(xiàn)，最終反映于企業(yè)各級(jí)風(fēng)險(xiǎn)管理目標(biāo)的實(shí)現(xiàn)能力。

想了解更多IT資訊，請(qǐng)?jiān)L問(wèn)中培偉業(yè)官網(wǎng)：中培偉業(yè)