[[176490]]

為網絡安全做準備，企業(yè)必須滿足基本的網絡安全目標。網絡安全準備是指能夠檢測并有效響應來自網絡外部以及內部的計算機安全泄露事故和入侵、惡意軟件攻擊、網絡釣魚攻擊以及數據和知識產權竊取。

在本文中，我們將主要探討風險，因為它影響著信息與信息系統(tǒng)。保護信息是一個業(yè)務問題，解決方案并不只是部署技術(防火墻和防病毒網關等)，然后不管不顧，并全權依賴保護。企業(yè)必須采取積極主動的方法來發(fā)現及保護其最重要的資產，包括信息、信息技術和關鍵業(yè)務流程。信息安全風險管理讓企業(yè)可評估其試圖保護的內容及原因，以作為確定安全措施的決定性支持要素。全面的信息安全風險評估應該允許企業(yè)根據其業(yè)務和組織需求來評估其安全需求和風險。

請記住，信息系統(tǒng)及其所包含數據的作用時支持業(yè)務流程，也是支持企業(yè)實現目標。在實際中，信息是支持企業(yè)及其使命的基本要素，它有助于維持企業(yè)運營。

風險定義

根據卡內基梅隆大學軟件工程研究所的OCTAVE風險評估方法顯示，風險是指：“遭受破壞或損失的可能性。”威脅是風險的組成部分，可以被認為是：威脅行為者(人類或非人類)采取某種行動，例如識別和利用漏洞，導致意想不到和不想要的結果，例如信息丟失、修改或披露，或者失去對信息的訪問權限。這些結果對企業(yè)將帶來負面影響，這些影響可能包括：收益或客戶流失、市場差異化損失、事故響應及恢復的成本以及罰款和監(jiān)管懲罰的成本。

信息安全風險組成部分

信息安全風險有幾個重要組成部分：

• 威脅行為者：利用漏洞的人類或非人類實體;
• 漏洞：威脅行為者利用的對象;
• 結果：利用漏洞導致的結果;
• 影響：不良結果帶來的影響，不要將結果與影響混淆。

信息安全風險最后且最重要的組成部分是受風險影響的資產，包括信息、過程和技術。假設資產風險無法消除，信息安全風險的唯一可控制的組件就是漏洞。我們可通過以下操作來控制漏洞：

• 刪除漏洞。如果不存在漏洞，則不能被利用;
• 或者，如果漏洞無法被刪除：
• 降低漏洞利用的可能性;
• 降低漏洞利用造成影響的嚴重性;
• 或者什么都不做，接受風險。

還有一種情況是零日漏洞，企業(yè)無法抵御未知漏洞帶來的特定結果和影響，并且沒有機會制定策略來減少可能性和影響。

風險管理

信息安全風險是發(fā)現、了解、評估和緩解風險及其根本漏洞的過程，也是了解對信息、信息系統(tǒng)以及依靠信息為其運營的企業(yè)的影響的過程。除了識別風險和風險緩解措施之外，風險管理方法和流程也將有所幫助：

• 識別關鍵信息資產。風險管理程序可被擴展到識別關鍵人物、業(yè)務流程和技術。
• 了解所選擇的關鍵資產對運營、任務完成以及業(yè)務連續(xù)性的重要性。

為了滿足風險管理作為網絡安全準備組件的目標，企業(yè)必須構建強大的信息安全風險評估和管理程序。如果企業(yè)風險管理(ERM)程序已經存在，還可部署信息安全風險管理程序來支持ERM流程。

用于構建信息安全風險管理程序的資源包括：

• NIST Special Publication 800-39，《管理信息安全風險》
• NIST Special Publication 800-30，《風險評估指南》

信息安全風險管理程序的其他要素包括：

• 資產管理程序
• 配置管理程序
• 變更管理程序