技術(shù)是企業(yè)最重要的資產(chǎn)之一,對(duì)于運(yùn)營(yíng)或支持許多業(yè)務(wù)流程至關(guān)重要,它也是最大的風(fēng)險(xiǎn)之一,這就是為什么IT風(fēng)險(xiǎn)評(píng)估框架至關(guān)重要的原因。
IT風(fēng)險(xiǎn)評(píng)估使企業(yè)能夠評(píng)估其系統(tǒng)、設(shè)備和數(shù)據(jù)所面臨的風(fēng)險(xiǎn),無(wú)論是網(wǎng)絡(luò)安全威脅、中斷還是其他事件,他們還可以評(píng)估這些風(fēng)險(xiǎn)的潛在影響,這些工作的主要目標(biāo)是減輕任何已識(shí)別的風(fēng)險(xiǎn),以避免數(shù)據(jù)泄露或不遵守法規(guī)等負(fù)面影響。
“在動(dòng)態(tài)的IT生態(tài)系統(tǒng)中,強(qiáng)大的風(fēng)險(xiǎn)管理框架至關(guān)重要,”Shaw University的CIO Leon Lewis說(shuō)。“隨著數(shù)字生態(tài)系統(tǒng)變得越來(lái)越復(fù)雜,主動(dòng)的風(fēng)險(xiǎn)管理促進(jìn)了各行業(yè)的彈性和安全性。”
IT和網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者可以根據(jù)其企業(yè)的需求選擇多種IT風(fēng)險(xiǎn)評(píng)估方法。以下是一些最受歡迎的框架,每個(gè)框架都旨在解決特定的風(fēng)險(xiǎn)領(lǐng)域。
COBIT
它是什么: 控制目標(biāo)信息及相關(guān)技術(shù)(COBIT)是信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)的一個(gè)框架,該協(xié)會(huì)是一個(gè)專注于IT治理的國(guó)際專業(yè)協(xié)會(huì),旨在用于IT管理和治理,它是一個(gè)廣泛而全面的框架,旨在支持理解、設(shè)計(jì)和實(shí)施企業(yè)IT的管理和治理。
它的作用: 根據(jù)ISACA的說(shuō)法,COBIT定義了構(gòu)建和維持最佳適配治理系統(tǒng)的組成部分和設(shè)計(jì)因素。最新版本COBIT 2019包括六項(xiàng)治理原則:提供利益相關(guān)者價(jià)值,整體方法,動(dòng)態(tài)治理系統(tǒng),治理與管理區(qū)分開(kāi),根據(jù)企業(yè)需求量身定制,端到端治理系統(tǒng)。
它的運(yùn)作方式: 該框架以業(yè)務(wù)為重點(diǎn),定義了一組管理IT組件的通用流程。每個(gè)流程都定義了流程輸入和輸出、關(guān)鍵活動(dòng)、目標(biāo)、績(jī)效衡量標(biāo)準(zhǔn)和基本成熟度模型。
值得注意的地方: ISACA表示,COBIT的實(shí)施具有靈活性,使企業(yè)能夠通過(guò)該框架定制其治理策略。
“COBIT通過(guò)其對(duì)企業(yè)IT治理和管理的不懈關(guān)注,使IT基礎(chǔ)設(shè)施與業(yè)務(wù)目標(biāo)保持一致,并保持戰(zhàn)略優(yōu)勢(shì),”Rivermate的CEO Lucas Botzen表示,該公司是一家提供遠(yuǎn)程勞動(dòng)力和薪資服務(wù)的供應(yīng)商。
“對(duì)于企業(yè)IT的治理和管理,COBIT 是必不可少的,”Fuel Logic的CEO Eliot Vancil表示,該公司提供燃料管理解決方案。“它為創(chuàng)建、實(shí)施、監(jiān)控和改進(jìn)IT管理和控制提供了一個(gè)計(jì)劃。COBIT的全面方法確保了IT與業(yè)務(wù)目標(biāo)協(xié)同工作并增加了價(jià)值。”
FAIR
它是什么: 信息風(fēng)險(xiǎn)因素分析(FAIR)是一種量化和管理企業(yè)內(nèi)風(fēng)險(xiǎn)的方法。根據(jù)致力于推進(jìn)網(wǎng)絡(luò)和運(yùn)營(yíng)風(fēng)險(xiǎn)管理學(xué)科的研究型非營(yíng)利企業(yè)Fair Institute的說(shuō)法,它是信息安全和運(yùn)營(yíng)風(fēng)險(xiǎn)領(lǐng)域唯一的國(guó)際標(biāo)準(zhǔn)量化模型。
它的作用: FAIR提供了一個(gè)模型,用于理解、分析和量化網(wǎng)絡(luò)風(fēng)險(xiǎn)和運(yùn)營(yíng)風(fēng)險(xiǎn),并以財(cái)務(wù)術(shù)語(yǔ)表達(dá)其影響。與那些輸出以定性顏色圖表或加權(quán)數(shù)值刻度為中心的風(fēng)險(xiǎn)評(píng)估框架不同,F(xiàn)AIR為開(kāi)發(fā)穩(wěn)健的信息風(fēng)險(xiǎn)管理方法奠定了基礎(chǔ)。
它的運(yùn)作方式: FAIR由Nationwide Mutual Insurance前CISO Jack Jones開(kāi)發(fā),主要關(guān)注為數(shù)據(jù)丟失事件的頻率和規(guī)模建立準(zhǔn)確的概率。它不是用于執(zhí)行企業(yè)或個(gè)人風(fēng)險(xiǎn)評(píng)估的方法,而是為企業(yè)提供理解、分析和衡量信息風(fēng)險(xiǎn)的方式。
其組件包括信息風(fēng)險(xiǎn)的分類法、信息風(fēng)險(xiǎn)術(shù)語(yǔ)的標(biāo)準(zhǔn)化命名法、制定數(shù)據(jù)收集標(biāo)準(zhǔn)的方法、風(fēng)險(xiǎn)因素的測(cè)量標(biāo)準(zhǔn)、用于計(jì)算風(fēng)險(xiǎn)的計(jì)算引擎以及分析復(fù)雜風(fēng)險(xiǎn)場(chǎng)景的模型。
值得注意的地方: Shaw University的Lewis表示,F(xiàn)AIR的定量網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估適用于各個(gè)行業(yè),現(xiàn)在更加注重供應(yīng)鏈風(fēng)險(xiǎn)管理和保護(hù)物聯(lián)網(wǎng)(IoT)及人工智能(AI)等技術(shù)。
由于FAIR采用定量風(fēng)險(xiǎn)管理方法,它幫助企業(yè)確定風(fēng)險(xiǎn)如何影響其財(cái)務(wù)狀況,F(xiàn)uel Logic的Vancil表示。“這種方法可以讓你選擇如何最佳地分配安全預(yù)算以及如何平衡風(fēng)險(xiǎn)和回報(bào)。”
ISO/IEC 27001
它是什么: 國(guó)際標(biāo)準(zhǔn)化企業(yè)(ISO)/國(guó)際電工委員會(huì)(IEC)27001是一個(gè)國(guó)際標(biāo)準(zhǔn),提供了如何管理信息安全的指導(dǎo)。它最初由ISO和IEC在2005年聯(lián)合發(fā)布,并經(jīng)過(guò)了后續(xù)的修訂。
它的作用: 根據(jù)ISO的說(shuō)法,ISO/IEC 27001為各個(gè)規(guī)模和各個(gè)行業(yè)的公司提供了關(guān)于建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)信息安全管理系統(tǒng)的指導(dǎo)。
它的運(yùn)作方式: ISO/IEC 27001提倡對(duì)信息安全采取整體性方法,包括審查人員、政策和技術(shù)。根據(jù)ISO的說(shuō)法,按照該標(biāo)準(zhǔn)實(shí)施的信息安全管理系統(tǒng)是風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)彈性和運(yùn)營(yíng)卓越的工具。
值得注意的地方: 符合ISO/IEC 27001意味著企業(yè)已經(jīng)建立了一個(gè)系統(tǒng),以管理與企業(yè)擁有或處理的數(shù)據(jù)安全相關(guān)的風(fēng)險(xiǎn)。
Vancil表示,該標(biāo)準(zhǔn)“為處理和保護(hù)私營(yíng)公司數(shù)據(jù)提供了一個(gè)結(jié)構(gòu)化的方法。這一標(biāo)準(zhǔn)在全球范圍內(nèi)使用,幫助企業(yè)保障信息安全并有效管理。”
NIST風(fēng)險(xiǎn)管理框架
它是什么: 國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)是一個(gè)美國(guó)政府機(jī)構(gòu),致力于推動(dòng)測(cè)量科學(xué)、標(biāo)準(zhǔn)和技術(shù)的發(fā)展。其風(fēng)險(xiǎn)管理框架(RMF)提供了一個(gè)全面、可重復(fù)和可衡量的七步流程,供企業(yè)用來(lái)管理信息安全和隱私風(fēng)險(xiǎn)。
該框架鏈接到一套NIST標(biāo)準(zhǔn)和指南,以支持實(shí)施風(fēng)險(xiǎn)管理計(jì)劃,從而滿足《聯(lián)邦信息安全現(xiàn)代化法案》(FISMA)的要求。
它的作用: 根據(jù)NIST的說(shuō)法,RMF提供了一個(gè)將安全、隱私和網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理活動(dòng)集成到系統(tǒng)開(kāi)發(fā)生命周期中的流程?;陲L(fēng)險(xiǎn)的控制選擇和規(guī)范方法考慮了適用法律、指令、行政命令、政策、標(biāo)準(zhǔn)或法規(guī)所引起的效力、效率和限制。
它的運(yùn)作方式: RMF的七個(gè)步驟是:
1. 準(zhǔn)備(Prepare): 準(zhǔn)備企業(yè)以管理安全和隱私風(fēng)險(xiǎn)的基本活動(dòng)。
2. 分類(Categorize): 根據(jù)影響分析對(duì)系統(tǒng)和處理、存儲(chǔ)及傳輸?shù)男畔⑦M(jìn)行分類。
3. 選擇(Select): 根據(jù)風(fēng)險(xiǎn)評(píng)估選擇保護(hù)系統(tǒng)的控制措施集。
4. 實(shí)施(Implement): 部署控制措施并記錄其部署方式。
5. 評(píng)估(Assess): 確定控制措施是否到位、按預(yù)期運(yùn)行并產(chǎn)生所需結(jié)果。
6. 授權(quán)(Authorize):由高級(jí)管理人員根據(jù)風(fēng)險(xiǎn)做出授權(quán)系統(tǒng)運(yùn)行的決策。
7. 監(jiān)控(Monitor):持續(xù)監(jiān)控控制措施的實(shí)施情況和系統(tǒng)的風(fēng)險(xiǎn)。
值得注意的地方:RMF“提供了一個(gè)程序化和有序的流程,幫助企業(yè)將安全性嵌入到整體風(fēng)險(xiǎn)管理過(guò)程中,從而使企業(yè)與聯(lián)邦法規(guī)保持一致,”Botzen說(shuō)。
Vancil指出,NIST框架很有幫助,因?yàn)樗峁┝艘粋€(gè)完整的計(jì)劃,用于發(fā)現(xiàn)、評(píng)估和減少風(fēng)險(xiǎn)。“它還企業(yè)了在系統(tǒng)開(kāi)發(fā)生命周期中納入安全和風(fēng)險(xiǎn)管理任務(wù),確保從一開(kāi)始就考慮安全問(wèn)題。”
OCTAVE
它是什么: 運(yùn)營(yíng)關(guān)鍵威脅、資產(chǎn)和漏洞評(píng)估(OCTAVE)是由卡內(nèi)基梅隆大學(xué)(CMU)的計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)開(kāi)發(fā)的一個(gè)框架,用于識(shí)別和管理信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
它的作用: 該模型定義了一種全面的評(píng)估方法,使企業(yè)能夠識(shí)別對(duì)其任務(wù)重要的信息資產(chǎn)、這些資產(chǎn)面臨的威脅以及可能使這些資產(chǎn)暴露于威脅中的漏洞。
它的運(yùn)作方式: 根據(jù)CMU的軟件工程研究所,通過(guò)將信息資產(chǎn)、威脅和漏洞整合在一起,企業(yè)可以開(kāi)始理解哪些信息處于風(fēng)險(xiǎn)之中?;谶@種理解,他們可以設(shè)計(jì)和實(shí)施一種保護(hù)策略,以減少其信息資產(chǎn)的整體風(fēng)險(xiǎn)暴露。
值得注意的地方: OCTAVE有兩個(gè)版本:OCTAVE-S,這是一種簡(jiǎn)化的方法,適用于具有扁平層級(jí)結(jié)構(gòu)的小型企業(yè),OCTAVE Allegro,則是一個(gè)更全面的框架,適用于大型企業(yè)或具有復(fù)雜結(jié)構(gòu)的企業(yè)。
Vancil說(shuō):“OCTAVE非常適合那些希望確保其IT風(fēng)險(xiǎn)管理與業(yè)務(wù)目標(biāo)一致的公司,因?yàn)樗幚淼氖瞧髽I(yè)風(fēng)險(xiǎn)和戰(zhàn)略問(wèn)題。它對(duì)重要資產(chǎn)的發(fā)現(xiàn)和漏洞評(píng)估的關(guān)注,幫助企業(yè)正確地進(jìn)行安全努力。”
該框架“從企業(yè)的角度識(shí)別和管理風(fēng)險(xiǎn),這對(duì)于了解不同風(fēng)險(xiǎn)如何影響各種業(yè)務(wù)運(yùn)營(yíng)至關(guān)重要,”Botzen說(shuō)。
TARA
它是什么: 威脅評(píng)估與補(bǔ)救分析(TARA)是一種工程方法學(xué),用于識(shí)別和評(píng)估網(wǎng)絡(luò)安全漏洞,并選擇能夠緩解這些漏洞的對(duì)策,根據(jù)MITRE(一個(gè)專注于包括網(wǎng)絡(luò)安全在內(nèi)的技術(shù)領(lǐng)域研究與開(kāi)發(fā)的非營(yíng)利企業(yè))的說(shuō)法。
它的作用: 該框架是MITRE系統(tǒng)安全工程實(shí)踐組合的一部分,側(cè)重于在采購(gòu)過(guò)程的早期階段改善系統(tǒng)的網(wǎng)絡(luò)安全衛(wèi)生和彈性。
它的運(yùn)作方式: TARA使用一個(gè)存儲(chǔ)數(shù)據(jù)的目錄來(lái)為識(shí)別可能被用于利用系統(tǒng)漏洞的攻擊向量的過(guò)程提供信息,同時(shí)還提供潛在的對(duì)策,以防止這些漏洞被利用或減輕其影響。
值得注意的地方: TARA最初于2010年開(kāi)發(fā),已在超過(guò)30次網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估中使用。它可以幫助企業(yè)基于整體業(yè)務(wù)影響來(lái)決定哪些風(fēng)險(xiǎn)需要認(rèn)真對(duì)待,Botzen說(shuō)。
Vancil表示,這一框架“非常適合專注于威脅的風(fēng)險(xiǎn)研究。它幫助團(tuán)隊(duì)確定他們面臨的威脅以及如何阻止這些威脅。這種方法在威脅不斷變化的環(huán)境中特別有效。”
企業(yè)網(wǎng)D1net(r5u5c.cn):
國(guó)內(nèi)主流的to B IT門戶,旗下運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。旗下運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開(kāi)頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)