如何制定安全风险管理打算

问：我们公司第一次制定正式的安全风险管理打算，您能供给一些安全风险管理打算示例吗，或者就安全风险管理打算应包含哪些内容给我们供给一些建议吗？

答：在制定企业安全风险管理打算时，有许多材料可供参考。第一份应当参考的文档是NIST（美国国家标准与技巧研究所）特别出版物800-53 V3——《美国联邦信息系统和组织安全把持建议（Recommended Security Controls for Federal Information Systems and Organizations）》。该标准的第三章给出了一个规范的流程图（如图1所示），可认为你们制定安全风险管理打算和框架的要害流程供给有益的领导。

图1

从本质上讲，制定安全风险管理打算的出发点是将“组织投入”和“系统结构描写”作为基础信息，帮助企业进行资产辨认和分类。

例如，组织投入可能包含组织不应受到妨碍的核心业务、企业的重要客户以及企业必须遵照的重要实用法律等。

系统结构描写包含企业使命/业务流程、系统系统结构以及需要保护的信息系统的边界。

另一份值得参考的文档是NIST特别出版物SP 800-39——《信息系统风险管理草案（DRAFT Managing Risk from Information Systems）》，该文档供给了在信息系统和基础设施中履行安全把持的组织的风险管理惯例视图。该文档还供给了一个风险管理的高层次视图，如图2所示。

图2

对制定风险管理打算可能有所帮助的第三份文档是《信息安全（Information Security）》杂志2009年6月发表的一篇开创性的文章——《如何制定融合业务和安全需求的风险管理计划（How to write a risk methodology that blends business, security needs）》，其作者是我的同事Cris Ewell。Cris在这篇文章中指出，制定风险管理打算和流程时应注意以下要点：

“风险管理流程必须植根于安全性原则并与安全打算整合，安全打算包含业务需求、合理注意事项、当前攻击向量以及符合法规请求和合同请求。遵照标准和法规的请求有助于表明合理注意，但不应成为安全打算的推动力。风险管理不可能解决所有的要挟和脆弱性。在一个组织中，信息安全实践的发展方向、评估指标和改良方法的推动力应当是下降剩余风险，而不是履行指令性把持。”

在这篇文章中，Cris还从战略、战术和业务三个方面介绍了如何构建风险管理框架，共涉及下列13个安全要素：

◆战略类

1.组织和授权

◆战术类

1.策略

2.审计与合规性

3.风险管理

4.隐私

5.突发事件管理

6.教导和培训

◆业务类

2.业务管理

3.技巧安全和访问把持

4.监督、测量和报告

5.物理和环境安全

6.资产辨认和分类

7.帐户管理和外包

你可能还想从互联网上查找其他的风险管理打算材料。不过，需要指出的是，前面提到的NIST文档和Cris的论文都是优良的资源，而且可以免费获得。