風險管理之網絡安全治理

　　什么是網絡安全治理？

網絡安全治理是控制和指導組織的網絡安全方法的方式。如果做得好，它將有效地協調組織的活動，如果做得不好，它將導致網絡安全風險決策的制定不佳和延遲。良好的網絡安全治理可以使網絡安全信息和決策在整個組織內流動。

正如安全是組織內每個人的責任一樣，安全決策也可以發生在各個級別。為了實現這一目標，組織的高級領導層應使用安全治理來列出他們準備讓員工承擔和不準備承擔的安全風險類型。

哪種安全治理方法適合我？

不存在適用于每個組織的“一刀切”的治理方法。組織應建立適合自己的安全風險管理角色和決策流程（請記住，某些組織可能必須遵守強制性要求）。

【資料圖】

無論任何預定的結構或流程如何，在以下情況下更有可能采用良好的方法來治理整個組織的風險管理：

該組織的業務目標、優先事項和對網絡安全風險的偏好是明確的明確識別組織關心的資產（或實現其業務目標的價值）組織制定了使風險管理有效所需的措施該組織明白，為了確保安全有效，它必須成為“一切照舊”的一部分組織確定誰負責（和負責）技術系統的安全并做出有關其安全的決策（包括這些系統在整個系統生命周期中的持續安全）該組織知道如何獲取為有效和及時的網絡安全決策提供信息所需的信息

當組織決定哪種治理方法適合他們時，考慮以下因素也可能會有所幫助：

組織如何在不同的業務、技術和決策環境中管理與技術相關的安全風險。在管理與技術相關的安全風險時，哪些外部因素是相關的（例如法律、監管或特定部門）？需要哪些業務流程來支持安全風險管理決策？決策者需要哪些信息和文件才能做出及時、知情和客觀的安全風險管理決策？組織如何確保負責管理風險（并制定風險管理決策）的人員擁有正確的業務和安全技能、知識和培訓？組織如何讓人們相信其管理風險的方法是有效的，以及其用于業務的系統足夠安全以滿足其需求？組織將如何確保風險管理決策和行動的可追溯性和問責制？組織將如何持續改進管理安全風險的方式？

您應該考慮您的組織面臨的問題并決定適合您的方法。這很重要，因為采用治理流程本身并不能實現良好的安全性。安全治理行為不應脫離良好安全的日常運維。

例如，高級領導層僅僅聲明“安全風險不可接受”是不夠的。這樣做將迫使低于此領導級別的人員僅根據個人知識和經驗來承擔風險，而不充分考慮組織的優先事項。

良好的網絡安全治理是什么樣的？投資于風險管理，信任決策者

管理技術系統風險的管理方式應該與組織管理其他業務活動的方式沒有什么不同。治理一詞意味著組織主動對其面臨的風險進行控制，并為其業務安全提供指導。有效的安全治理要求組織投資于風險管理資源并信任決策者，以便擁有合適的人員、結構和風險管理流程。這使得明智的風險管理決策能夠實現組織的業務目標和目標。

代表決策

有效的網絡安全風險管理建立在明智的決策之上。然而，雖然組織內的高級管理層（例如董事會）仍然對網絡安全風險管理負責，但他們不一定需要做出所有風險管理決策。風險管理決策可以在組織的各個級別制定，并且可以委托給最了解問題的人員。決策者應擁有正確的安全、業務和技術知識（以及技能和經驗），使他們能夠在不同的業務環境中做出及時有效的風險管理決策。

為了使安全風險管理有效，重要的是在負責組織安全的人員和有權代表他們做出風險管理決策的人員之間建立清晰的溝通渠道。授權決策權時，授權范圍必須明確。也就是說，他們應該了解何時需要升級決策以獲得企業內部更高層的關注。

應對復雜性和不確定性

用于提供現代業務功能的技術系統可以被視為復雜的“社會技術”系統，技術、人員和業務流程之間存在交互。這種復雜性意味著有時可以了解并管理安全風險的原因和影響，有時則不能。

風險管理中的不確定性是不可避免的，因為決策者和從業者為安全決策提供信息所需的信息可能無法獲得、未知或主觀得出。這種不確定性因以下因素而加劇：

參與風險分析、評估和決策過程的人員的偏見現有風險管理技能和經驗的局限性方法和工具及其使用方式的局限性

這種復雜性和不確定性并不意味著組織無法采取任何措施來管理安全風險。相反，負責決策的人需要：

了解他們所使用的方法、途徑和工具的局限性了解在某些情況下可以通過實施預定義的安全控制和方法來管理風險，而在某些情況下則無法通過實施預定義的安全控制和方法來管理風險采用不同的策略在不同的情況下做出明智的安全風險管理決策發展有效的文化和環境

有效的安全文化和環境還將幫助組織應對與我們今天使用和依賴的系統和服務相關的不可避免的復雜性和不確定性。可以通過以下方式鼓勵適當的安全文化和環境：

確保參與安全風險管理決策的每個人都了解實現目標和維護業務優先級比遵守通用的預定清單更重要雇用具有網絡安全、業務和風險管理技能以及提供信息、制定和實現有效決策所需的知識和專業知識的人員信任并授權這些人做出風險管理決策將程序和文件工作量降至最低，僅達到及時有效決策所必需的程度通過應用良好的安全設計原則，將風險管理納入正常業務以及設計和開發生命周期中，因此它被視為一項與其他風險管理方式一致的持續活動（而不是一次性行動）使負責制定風險管理決策的人員能夠輕松訪問（并理解）他們所需的信息減少信息被誤解、削弱或以任何引入不確定性和偏見的方式闡述的機會接受技術和安全風險將會發生的事實，并了解組織將采取哪些措施來最大程度地減少損害、繼續運營并根據吸取的經驗教訓進行改進確保負責安全的人員、負責制定風險管理決策的人員以及負責開展風險管理活動的人員之間的溝通清晰且有意義，以便能夠根據信息正確有效地采取行動有效傳達風險管理信息

風險管理信息的有效溝通有助于組織指導和控制風險管理活動。為了使這種溝通有效，組織必須建立內部和外部渠道來與員工、業務合作伙伴和客戶進行溝通。當組織內部的溝通在組織的正確層級之間進行時，溝通是最有效的：自上而下、自下而上和橫向：

自上而下的溝通為決策者提供公司方向和業務目標自下而上和橫向溝通提供詳細的技術、非技術和安全信息，為風險管理決策提供信息

內部溝通時，這些信息至少應包括：

業務目標、優先事項和風險管理方向組織關心什么以及為什么組織將（和不會）承擔哪些風險誰負責制定風險管理決策

當與第三方進行外部溝通時，這些信息至少應包括：

風險管理和決策背景需要保護什么以及為什么如果受保護資產的安全依賴于另一方，那么組織希望該方采取什么措施來保護它？（例如合同中的安全條款、程序或安全要求）如果第三方為組織關心的事物提供安全性，組織如何獲得第三方正在按預期提供安全性的信心？

為了以清晰且有意義的方式傳達風險管理信息，組織應使用簡單的英語和眾所周知的業務、技術和安全術語。應避免使用定制的風險管理語言或專業術語。

人們通常認為，由于組織使用通用的風險評估（或風險管理）方法，因此他們將能夠使用生成的風險信息（例如順序風險或影響級別或標簽）作為速記方式將信息傳達給風險管理決策者和業務合作伙伴。如果沒有就風險管理信息的含義達成一致，這個假設是不正確的。人們和組織會根據個人和群體的偏見、經驗、知識和優先事項來解釋或誤解風險相關信息。如果提供的風險管理信息沒有含義、解釋或上下文，則尤其如此。

與任何其他關系一樣，各方之間的信任建立在良好的溝通基礎上，使各方能夠理解他人的價值，并就風險管理信息和風險評估輸出的具體含義達成一致。這種理解將使組織能夠信任其他人向他們提供的風險管理信息，并充滿信心地使用技術系統和服務。

關鍵詞：