学习交流

企业科技风险管理的一般性方法

2017-12-08 10:24:43 | 来源:中培企业IT培训网

▌风险识别

信息科技风险识别是指对企业具有脆弱性、可能受到威胁侵害、需要保护的信息技术、资源或资产进行识别和分类,并对相关的威胁和脆弱性进行确认的过程。信息科技风险具有一定的可变性,风险识别是一项持续性和系统性的工作,各级相关部门应密切注意原有风险的变化,并随时发现新的风险。

一般性的风险识别方法可以包含如下几个方面:威胁建模、风险库维护、有偿探测、头脑风暴等。

威胁建模是一种较高级别的风险识别与分析方法,是基于业务场景、信息资产的敏感度、信息技术的可靠性等要素进行分析,进而判定可能的风险的来源、威胁对象、触发条件、影响程度,一般要通过锁定一定的信息资产的范围,梳理信息资产提供的IT服务属性和业务逻辑,开展必要的建模工作,再加上安全专家的经验,就可以识别出各个关键资产所面临的可能性威胁和存在的各种漏洞了。

风险库维护是一种比较常见的识别方法,也就是通过日积月累的收集和标记各种场景下发生的信息科技风险,来识别风险来源、触发条件、威胁对象、脆弱点、影响程度等信息,并同时可以借鉴之前的有效经验,进行应急防控措施和预案的部署。现在很多企业都建立了自身风险库,利用各种互联网资源,例如社群、论坛等工具,实时跟进类似企业的风险发生场景,并基于内部已有的风险发生场景,主动开展风险的定期的维护和识别管理。

有偿探测是一种风险管理外包活动,也就是聘用专业化的机构和风险管理专家,利用他们的经验库进行自身信息资产的防护工作,由他们基于专业性的工具、技术和资源,从外部或者定期授权到内部进行风险诊断和探测工作。

头脑风暴方法是基于各种专业化人员对于自身工作和信息资产的熟悉情况,加上信息安全专家对于风险管理知识的介绍,大家开展的信息科技风险识别方法,该方法的好处就是通过专家自身的经验进行威胁和脆弱点识别,相对高效和准确。缺点在于对于风险分析系统性和完整新是无法保障。

▌安全策略部署

基于风险管理的范围和目标,一般都会开展风险管理策略的部署,安全策略一般分为预防性策略和应急性策略。

预防性策略是针对所关注领域的风险进行主动性的安全漏洞探测和监控,降低风险发生的可能性及其造成的影响。一般的预防行策略是在风险识别时就建立相关的风险指标和风险属性定义,以便于风险评估时进行风险发生可性能的评估。

应急性策略是针对预防性策略检测出的可能性以及严重程度都较高的风险,甚至是已经造成严重后果影响的风险,采取的应急处置措施。一般的应急性策略是要在风险识别时就建立风险阈值和应急预案。 

安全策略的部署要同时考虑到风险防控成本与风险管理目标之间的平衡性,说的直接一些就是检测风险和处置风险的代价,一般安全策略部署包含了安全监控设施、安全处置场地、漏洞检测工具、安全专家、运营管理费用等等成本分类,而且安全运营也是长期持久性的投入,所以来说这些投入对于风险管理的目标而言值不值当呢?一般性的公司的安全策略部署原则应该从经济性、科学性、创新性以及安全性几个角度综合考量。

▌风险评估

信息科技风险评估,是根据已识别的信息科技风险,包括识别的信息技术的脆弱点、受影响的信息资产、组织、资源等,对信息科技风险可能导致对企业的业务和声誉影响进行评估。风险评估范围包含整体信息科技风险检查评估、信息资产安全性风险检查评估、专项信息科技风险检查评估。风险评估的方法一般包含如下几类:

1   ▏自我评估

企业应定期通过风险评估和审计等方式对风险的发展与变化情况进行持续监测,并根据需要对风险应对策略进行调整。每年应至少开展一次整体信息科技风险检查评估或者审计,至少组织一次信息资产风险检查评估或者审计;并适时开展专项信息科技风险检查评估。大型的集团性单位,应要求各级法人单位每季度至少开展一次I类自评估,每年至少开展一次II类自评估。针对集团大集中式的信息资产每年应至少开展一次III类自评估。

自我评估的工具一般也是包含了基于SOC(安全运营中心)的实质性监测式评估诊断活动,或者基于风险管理制度的合规性经验型评估诊断活动。

2   ▏第三方评估

信息科技风险管理部每年应至少开展一次信息科技风险第三方评估。由第三方在企业授权的范围内,并使用经过确认的评估方法开展相应的评估工作,评估机构应本着客观、公正、真实和自主的原则,开展评估活动,并严格保守在评估过程中获悉的商业机密。针对第三方的评估工作,企业和评估机构之间应在评估过程中建立信息保密工作机制。

▌风险处置

当预防性监测发现了异常,就可以基于有效预防性分析指标和控制基准客观的反应威胁发生的可能性以及严重程度,便于安全运营人员及时采取措施进行风险防范与处置,进而实现大范围的信息科技服务组件的安全运营。这些预防性的措施是要基于风险发生的可能性、可能发生位置、可能发生的场景进行主动型的深层关注和分析活动,例如:有的是针对信息系统开发环节的代码漏洞检测,有的是基于网络非法入侵的主动性侦测,还有的是针对外包人员的日常行为规范进行约束等等。

一旦通过监控和测试措施检测阈值已经触及,就要启动风险计划和应急预案。这些应急预案要面向风险发生时势态的严重性,采取响应的规避、减弱和接受措施。例如:当业务连续性风险发生时要启动业务连续性计划,建立应急指挥中心,并启动应急环境进行应急业务保障;当侦测到软件存在后门时,要采取必要的网络隔离、代码修补和反侦测工作等等;当网络遭受非法入侵,也要进行必要的入侵路径探测和非法行为拦截等等工作。

▌风险报告

风险报告也是企业科技风险管理过程中不容忽视的一个环节,风险报告指信息科技部门、风险管理部门和审计部门依据特定的格式和程序对信息科技风险状况进行描述、分析和评价,并形成的信息科技风险报告,相关部门按照规定的报告路线进行汇报。报告的内容应完整、客观、清晰。

风险管理报告应该作为企业信息服务运行报告的一部分进行呈现,它是反映企业风险管理活动推进过程和推进成效的直接体现,报告应分时间周期和风险类型进行多种呈现,最终反映于企业各级风险管理目标的实现能力。

想了解更多IT资讯,请访问中培伟业官网:中培伟业

猜你喜欢