风险管理安全治理,风险管理决策和沟通
帮助组织控制、指导和交流其网络安全风险管理活动。
安全治理和业务目标
投资风险管理,信任决策者
良好的安全治理是什么样的?
组织的业务目标和优先事项是明确的
组织关心的资产(或在实现其业务目标方面的价值)被清楚地确定
该组织部署了使风险管理有效所需的资源
组织明白,要使安全有效,它必须是“一切照旧”的一部分
组织确定谁对技术系统的安全负责(和负责)
组织在追求其业务目标时会(也不会)承担的风险是明确的
该组织确定谁负责(和负责)做出有关技术系统的安全决策
组织知道如何获取为这些安全决策提供信息所需的信息
组织确定谁负责(和负责)技术系统在整个系统生命周期中的持续安全
当组织决定适合他们的治理方法时,需考虑以下因素:
组织将如何在不同的业务、技术和决策环境中管理与技术相关的安全风险?
在管理与技术相关的安全风险(例如法律、监管或特定行业)时,哪些外部要求是相关的?
需要哪些业务流程来支持安全风险管理决策的制定?
需要哪些信息和文档才能使决策者做出及时、知情和客观的安全风险管理决策?
组织将如何确保负责管理风险(和制定风险管理决策)的人员拥有正确的业务和安全技能、知识和培训?
组织如何确信其管理风险的方法是有效的,以及它用于业务的系统足够安全以满足其需求?
组织将如何确保风险管理决策和行动的可追溯性和问责制?
组织将如何对其管理安全风险的方式进行持续改进?
委派决策
处理复杂性和不确定性
参与风险分析、评估和决策过程的人员的偏见
方法和工具及其使用方式的局限性
了解他们使用的工具的局限性
了解在某些情况下可以通过实施预定义的安全控制和方法来管理风险,以及在某些情况下不能进行管理
在不同的环境中采用不同的策略来做出明智的安全风险管理决策
发展有效的文化和环境
确保参与安全风险管理决策的每个人都了解实现目标和维护业务的优先级比遵守通用的预定检查表更重要
聘用具备网络安全、业务和风险管理技能以及制定和实现有效决策所需的知识和专长的人员
信任并授权这些人做出风险管理决策
尽量减少程序和文件的工作量,只限于实现及时有效决策所必需的工作量
将风险管理“烘焙”成“一切照旧”,因此它被视为与其他风险管理方式一致的持续活动(而不是一次性行动)
使负责制定风险管理决策的人员能够轻松访问(并理解)他们需要的信息
减少该信息以任何引入不确定性和偏见的方式被误解、削弱或阐述的机会
接受技术和安全风险将被意识到,并了解组织将采取哪些措施来最大限度地减少损害、继续运营并根据经验教训进行改进
确保以下人员之间的沟通:
a) 负责安全的人员
b) 负责制定风险管理决策的人员
c) 负责执行风险管理活动的人员
- 清晰且有意义,以便可以正确有效地对信息采取行动
沟通风险管理信息
自上而下的沟通为决策者提供公司方向和业务目标
自下而上和横向沟通提供详细的技术、非技术和安全信息,以告知风险管理决策
在内部沟通时,应包括:
业务目标、优先事项和风险管理方向
组织关心什么以及为什么
组织将(和不会)承担哪些风险
谁负责做出风险管理决策
在与第三方进行外部沟通时,应包括:
风险管理和决策背景
什么需要保护,为什么?
如果受保护资产的安全依赖于另一方,那么组织期望该方采取什么措施来保护它?(例如合同中的安全程序或安全要求)
在第三方为组织关心的事情提供安全性的情况下,组织如何获得第三方正在按预期提供安全性的信心?