网络安全风险管理框架

帮助了解什么是好的风险管理方法，以及哪些网络安全风险管理方法适合您的组织。

管理网络安全风险的框架

本节列出了一系列可以构成任何网络安全风险管理流程基础的高级步骤。虽然此处显示的步骤反映了ISO/IEC 27005:2018中描述的流程，但在许多其他网络安全风险管理标准、指南、流程和方法中很可能会找到类似的流程或步骤。

这些步骤将帮助您了解良好的风险管理方法是什么样的，并帮助您确定哪些网络安全风险管理方法适合您的组织。

对于那些刚接触网络安全风险管理并且不知道如何开始进行风险评估等主题的人，我们还提供了基本的网络风险方法。

第 1 步 - 建立组织环境

任何网络安全风险管理流程的第一步都是了解管理网络安全风险的业务环境。网络安全风险管理不应使组织的目标难以实现，而必须能够实现这些目标。建立组织和业务背景将帮助您发现和了解您的组织真正做什么、看重什么以及可能关心什么，甚至在您考虑识别和管理网络安全风险之前也是如此。

您不应该自己创建此视图。相反，您应该利用现有的组织知识。这可以是使命宣言、企业级风险信息的形式，或者您可以与业务中适当的利益相关者交谈。根据您的具体情况，这可能是在组织、计划或项目级别。白板、头脑风暴、PESTLE 和 SWOT 分析等技术可能在团体或个人中有用，可以帮助您建立这种背景。

注意事项：

• 您组织的使命、宗旨、目标和优先事项是什么？
• 您的企业关心什么、必须保护什么以及不能容忍什么结果？
• 您的业务的关键领域是什么？
• 您的决策者希望您的风险管理工作解决哪些关键问题？
• 您是否需要满足任何外部因素，例如法律、法规、监管、合规性或合同要求？

第 2 步 - 确定决策者、治理流程和限制因素

此步骤是关于确定如何在组织内控制和指导网络安全风险管理。您应该从“组织范围”的角度进行思考，以避免孤立的思维。网络安全风险决策应与其他业务风险的管理保持一致。风险负责人或决策者不应单独担任网络职能部门，因为有关网络安全风险管理的决策属于业务决策。例如，如果您是一个较大的组织，则应该由整个董事会负责，而不是留给某个人。

为此，您需要清楚地了解您的决策者是谁、他们从事的业务级别以及他们在风险所有权、责任和问责方面的权力。也许您不直接向董事会报告，您的背景可能是一个计划或项目。因此，了解您特定情况下决策的授权和升级过程至关重要。理想情况下，所有网络安全风险管理活动都应由具有决策权的人批准，并与他们必须做出的决策相关联。因此，决策者必须能够接触到网络安全风险管理专家，并且这些专家能够根据需要有效地传达风险管理信息和问题。

您还需要了解决策者的限制（例如预算、资源和时间）以及其他组织因素，例如您遵循的采购和开发流程（例如瀑布式或敏捷式）。您的网络安全风险管理活动应与您组织的风险偏好相一致，并与更广泛的业务实践的节奏和节奏相匹配，以按时完成项目；如果你的输入晚了，它们将毫无意义。

注意事项：

• 您的组织内是否存在现有的风险管理治理和决策流程和结构？它是如何运作的？
• 您的组织是否有承担网络安全风险的明确意愿？
• 谁负责制定网络安全风险管理决策，他们的需求和限制是什么，以及如何在大型或复杂的组织中下放该职责？
• 如果您不知道该怎么做，您将如何升级网络安全风险管理决策？
• 您打算如何将网络安全风险整合到组织更广泛的目标和风险中？
• 谁是您的风险、系统、服务和资产所有者，以及已有哪些网络安全风险管理角色？
• 您如何管理您可能无法完全控制的情况，例如在第三方、云服务或供应链环境中？谁负责这方面的决策并承担责任，网络安全风险管理责任如何分担？
• 您的安全预算是多少？

第 3 步 - 定义网络安全风险挑战

首先从高层次仔细思考定义网络安全风险挑战的关键特征。我们使用“挑战”一词，但您可能会将其视为网络安全风险问题或您计划应用风险分析的问题。在使用特定的网络安全风险评估工具之前，重要的是要考虑挑战的范围和性质。了解这些关键特征将帮助您决定在步骤 4中采取的适当方法或方法组合。

注意事项：

• 挑战有多复杂？这是一个标准的、定义明确且易于理解的挑战吗？您能否应用已知的解决方案来有效应对您的挑战？如果是这样的话，是否还需要进行进一步的评估或分析？它是否新颖或复杂，可能需要不同的方法？
• 挑战是在设计上，还是在操作上？如果是设计方面的，您的开发实践和节奏是什么（例如瀑布式或敏捷式）？
• 网络安全风险是否会对其他风险领域产生重大影响？例如，对于网络物理系统，是否需要将网络安全风险评估与安全风险评估结合起来？
• 是否有一些因素可能超出您的直接控制范围，但仍然是您风险状况的一部分，例如您的供应链、第三方或云服务的使用？您在多大程度上可以依赖他们的潜在风险评估？您需要做什么来履行您的职责？
• 您是否处于高度威胁的环境中？是否存在与您的组织相关并会影响您对威胁环境的理解的情况？例如，您是政府供应商吗？您即将推出新产品，或者您最近在媒体上的曝光度更高吗？在考虑您的威胁环境时，这些因素可能是相关的。
• 会不会出现频率低但影响大的事件？哪些时间范围与您的网络安全风险管理相关？在短期内，您可能对自己的风险有更大的确定性，但从长远来看，您可能需要应对与您的系统和更广泛的环境相关的更大程度的不确定性。
• 您是否受到所使用的某些技术的限制，例如运营技术 (OT)、ICS/SCADA 或旧产品？

第 4 步 - 选择方法

网络风险管理工具箱中有许多途径、方法和工具可用于帮助评估和管理网络安全风险。没有一种方法适合所有情况，也没有一种工具可以解决所有问题。每个都有自己的优点和缺点，具体取决于您评估的内容。因此，您选择的方法应根据您已识别的风险挑战的关键特征进行定制。在您自己的功能工具箱中混合使用多种方法是值得的，以便您可以为您的特定风险挑战选择最合适的工具。

您的方法还可能受到业务限制的影响，例如可用的财务和资源，以及在内部和与其他风险领域或在外部与业务合作伙伴或监管机构保持一致性的需要。我们的网络风险管理工具箱中描述的一些技术是免费的并且相对易于使用，而其他技术可能需要订阅、广泛的培训和支持治理结构。

注意事项：

• 您在第 3 步中确定的关键特征是否会引导您使用特定的工具或技术？
• 您当前的方法或基线是否满足您的风险挑战的需求？
• 选择工具时需要考虑哪些限制？
• 您选择的方法是否可以帮助您了解需要保护的内容以及如何保护？如果没有，您还需要什么其他方法？
• 您是否具备使用特定工具、方法、技巧或途径的正确技能？或者您需要引入专业资源来帮助您？
• 您选择的方法（在语言、流程和输出方面）与您组织中用于风险管理的其他方法的契合程度如何？

第 5 步 - 了解风险以及如何管理风险

此步骤是关于使用网络风险管理工具箱方法、技术和工具来识别和评估网络安全风险，以便您可以优先考虑它们，并就如何实际管理它们做出决策。设法管理您发现的所有网络安全风险非常重要。对于那些刚接触网络风险管理并且不知道从哪里开始的人，还提供了基本的风险评估，但您应该注意，这种基本方法附带了一些严重的健康警告。

此步骤将涉及风险分析和优先级排序，以及就如何管理风险做出决策。您可以选择通过以下方式管理网络安全风险：

避免它

这意味着不继续或停止导致存在风险的活动。这有时被称为“终止”风险。

接受它

这意味着做出明智的决定，不采取任何措施（或进一步采取任何措施）来治疗、减轻、修改或降低已识别的风险（无论是作为原始的未经处理的风险，还是作为进行某些治疗后仍然存在的残留风险）。接受风险意味着，如果风险发生，您将不得不承受由此产生的影响和后果。之所以做出这些决定，是因为处理风险的成本可能超过可能实现的任何影响的成本，或者因为在组织为了追求其目标和优先事项而愿意承担风险的情况下，风险是可以容忍的。这有时被称为“容忍”或“保留”风险。

转移它

这意味着将风险的影响或后果转移给其他人（例如通过保险）。这有时可以称为“分担风险”。

治疗它

这涉及技术和非技术控制的实施、管理和维护，旨在降低网络安全风险发生的可能性，或减少发生网络安全风险时的影响（目的是使网络安全风险在组织的风险偏好范围内可接受或可容忍）。这有时可以称为采取行动“修改”、“减轻”或“降低”风险。

如果您选择通过使用技术或非技术控制措施来处理已识别的风险，那么您和组织内承担网络安全风险的人员必须确信这些控制措施将按照您的预期发挥作用，并且它们将在您所使用的系统或服务的整个生命周期中继续发挥作用，这一点非常重要。这种信心被称为“安全保证”、“技术保证”或简称“保证”。

当您向决策者提出建议时，您需要描述和沟通如何获得保证（并维护您推荐的控制措施）。

不可能完全消除或治疗所有风险。当您使用控制措施处理网络安全风险时，总会留下一个或多个风险，这些风险被称为“残留风险”。这些残余风险本身也需要进行管理。

进行的风险分析的数量需要与您面临的风险挑战相称，如果您的方法没有为您提供帮助您识别和管理网络安全风险的信息，那么您应该停下来考虑一下您是否做得足够，或者是否需要尝试其他方法来获取更多信息。

您提出的网络安全风险管理建议应在正确的时间以正确的格式交付给适当的决策者。在所有情况下，您评估的风险和提出的建议都应该可以追溯到企业正在做什么和关心什么。您的建议应该是可行的并且符合决策者的限制，但他们也应该清楚他们将继续承担哪些风险，换句话说，如果他们接受您的建议，将会留下哪些剩余风险。您所做的这些以及其他分析和决定应适当记录以保持可追溯性。这些文件可能包括：

• 风险登记册：向决策者和其他利益相关者传达已识别的风险并确定其优先顺序
• 网络安全风险管理计划：该计划规定了如何管理网络安全风险，并描述了为处理已识别风险而将实施的控制措施
• 保证计划：它规定了如何在系统或服务的整个生命周期中获得和维护用于处理已识别风险的控制保证
• 剩余风险声明：这为决策者确定了处理已识别风险后遗留的风险，以便他们能够就如何管理这些风险做出明智的决定

您应该能够证明并捍卫您的建议。您提出的任何主张或您提供的信息都应该有充分的论据和证据支持。您应该了解，控制措施只有在解决已识别的风险时才有用。如果您的技术不允许您做到这一点，那么您应该考虑采取替代方法。

注意事项：

• 最有效地利用不同来源的数据和信息。
• 定量信息和方法可能有助于开展成本效益分析，为有关潜在控制措施的决策提供信息。
• 意识到“高”、“中”或“低”等陈述和标签的效用有限，而不将它们设置在有意义的技术和/或业务背景中。你对high的理解可能和你的观众不一样。
• 请注意无意识偏见的潜在影响，这可能会扭曲您分析所依据的某些输入。

第 6 步 - 沟通和咨询

下一步是将您的发现和建议传达给企业内适当的决策者或决策者群体。您的沟通必须有意义，并且在详细程度和使用的格式方面适合受众。例如，如果您需要或选择使用标准标签，例如高、中和低，请确保您已向应用这些标签的人和将根据这些标签做出决策的人清楚地表达了它们的含义。需要有效的双向沟通（面对面和书面）来建立所有利益相关方的信誉并做出有效的决策。使用不适合受众或上下文的过于技术性和网络安全术语可能会导致沟通不畅和混乱。

注意事项：

• 咨询网络安全风险管理决策者和其他治理利益相关者，以便更好地了解他们对风险管理信息的需求，从而帮助他们做出明智、及时的决策。
• 简洁并为受众提供量身定制的建议：将大量复杂的风险信息提炼成有意义的更新。
• 您应该能够将您识别的每个风险追溯到一些高层组织风险或损失。确保您的语言和演示对决策者来说具有影响力且易于理解，并解决了他们真正关心的问题。使用非技术和非安全语言来实现这一点非常有帮助。
• 考虑如何按优先级呈现风险，将注意力集中在最关键的风险和建议上，但确保捕获和考虑所有风险。
• 您使用的语言和风险声明应与整个企业的现有实践一致。如果其他人都使用标签来描述风险及其组成部分，那么您也应该这样做，但请记住根据上下文仔细描述您使用的任何标签，以确保每个人都理解它们的含义。

第 7 步 - 实施并确保

此步骤是关于实施您提出的建议（并且您的决策者已同意），以及获得并保持对您应用的控制和措施有效并按预期有效并继续有效的信心。

这里的目的是确保网络安全从一开始就已包含在您正在处理的系统或服务中，并且在设计上是安全的。作为风险从业者，您可能不直接对此活动负责。因此，确保负责实施的人员了解他们正在解决的风险以及您为管理这些风险而提出的建议非常重要。这涉及这些控制的“整个生命周期”管理以及剩余风险的管理。通常很容易仓促或忽视这一步，但您应该像在框架中的早期步骤中投入一样多的时间和精力来进行这些活动。

我们今天用于商业和个人用途的系统本质上是社会技术的，这意味着它们涉及人员、技术和业务流程。这些系统的交付和维护还可能涉及复杂的供应链。网络安全风险可能会影响所有这些因素，因此您需要确保在所有这些方面都根据需要适当且有效地实施了网络安全控制。

网络安全控制和措施应分层应用于系统。这种方法有时被称为“深度防御”，即单个控制或措施的失败或妥协不会导致攻击者立即完全访问我们关心的内容。为此，他们需要克服或妥协不止一种控制或措施。

在某些情况下，例如在使用云服务时，实施网络安全控制的责任可能与第三方服务提供商共同承担。您应该注意，虽然实施控制的责任可能与第三方共同承担，但风险（及其管理方式）的责任和义务仍然由您和您的组织承担。

无论您是安全控制和措施、将安全应用到您的供应链，还是与第三方供应商定义共享安全模型，您和组织内的风险负责人都应该寻求信心（或保证），您正在使用的控制和措施将按照您的预期发挥作用（并且只要您需要它们，它们就会继续这样做）。

例如：

• 您可以要求使用、管理和维护您的系统和服务的人员接受安全完成工作所需的培训和技能，从而向他们寻求保证
• 您可以通过以下方式寻求对所使用的技术和流程的保证：例如，确保它们在设计和构建时考虑到安全性、根据标准独立评估它们、在部署之前和运行过程中对其进行安全测试，以及监控和审核它们的使用方式

NCSC 网站包含有关产品和服务的详细信息，由 NCSC 保证保护您的组织并向您的客户保证您认真对待网络安全。

良好的网络安全风险管理是一项持续的活动，因此您不能永远依赖实施决策。您需要不断考虑您现有的网络安全控制和保障安排在您面临的网络安全威胁和风险的背景下是否仍然具有相关性。

注意事项：

• 考虑潜在控制措施的财务和资源影响以及它们是否符合 PACE 原则（务实、适当和成本效益）。它们还应该符合您的风险偏好、业务目标和规定的风险。
• 适当使用风险管理选项的组合（即并非所有风险都需要通过控制来管理，而是可以避免、转移或接受它们）。
• 寻求实现纵深防御并使用一系列控制措施来解决人员、业务流程、物理和技术问题；避免只关注技术，而要把人放在思考的核心位置。
• 考虑如何充分利用现有的现有控制措施，并充分利用产品、系统和服务内置的安全功能（但默认情况下可能未启用，或者可以轻松调整它们以解决已识别的相关风险）。
• 确保您首先管理最高优先级的风险。
• 采用共同基准将帮助您防御最常见的威胁。您可以参考通用的控制集或框架，但不要盲目遵循这些控制，仅选择与您的威胁模型和风险相关的控制。您可能还需要通过实施定制或有针对性的控制措施来调整或增强共同基准，以管理您的设置或环境所特有的网络安全风险。
• 考虑将保障模型构建到设计、操作和维护技术系统和服务的流程中，以提供对网络安全风险管理方式的信心。
• 检查您做出的有关接受或容忍网络安全风险的任何决策是否仍然安全，并且所有这些风险接受决策是否可以在组织或企业风险级别上被看到和理解，以便为更高级别的风险管理观点和决策提供信息。
• 定期审查您使用的网络安全控制措施，以确保它们保持有效并与您面临的风险相关。

第 8 步 - 监控和审查

网络安全风险管理是一个持续的过程，您的方法需要定期审查和调整，以应对不断变化的威胁和风险形势。重要的是，不仅要监控和审查您所实施的控制措施的有效性和性能，还要监控和审查您的风险评估和网络安全风险管理方法本身。网络安全的设计应在系统或服务所支持的业务的整个生命周期内实施，而不仅仅是在交付系统或服务的项目/项目群的生命周期内实施。

注意事项：

• 定期审查您的网络安全风险管理整体方法，为您的组织提供持续的保证，确保其有效运营以满足业务需求，并确定可能需要改进的领域或可能需要在现有网络安全风险管理工具箱中添加额外和/或替代方法或技术的领域。
• 不要害怕回滚或撤销以前的风险处理决策：这是因为您在首次实施系统或服务时做出的处理决策今天可能不合适。
• 监控您的系统将使您能够观察其行为是否超出您定义的参数，例如遵守网络安全策略，并帮助您了解哪些地方可能需要额外的干预、措施或控制。通过这种方式，您可以将监控本身用作控制，例如使用保护监控和事务监控。
• 不断确认现有的控制措施在管理网络安全风险方面是适当且相称的。
• 制定指标和绩效指标来衡量控制的有效性
• 当事情发生重大变化时，重新审视您的风险评估和分析。这可能是当您面临的威胁发生变化时，或者当您更改用于交付和管理系统或服务的技术时，或者当您使用系统的方式发生重大变化时。
• 使用各种机制来监控和审查您的系统和服务，例如定期审查、渗透测试、安全审核、IT 运行状况检查和安全监控解决方案或您自己的日志记录。这些机制将帮助您识别网络安全事件，并提供有关您用于管理网络安全风险的措施和控制措施效果如何或其他方面的信息。