主题概要
情報セキュリティリスク管理とは,简称ISRM,是管理信息技术使用带来的风险的过程。。对组织资产的机密性,匹配性和可用性的风险的识别,评估和应对。。这个过程的最终目标是根据组织的整体抗风险能力来应对风险。。企业不应该期望消除所有的风险。。相反,我们需要识别组织可以接受的风险水平,并努力去实现。。
特定
环评
这是一个组合收集到的信息,关于资产,脆弱和控制,定义风险的过程。。为此有很多框架和方法,但都可以利用以下方程式。。
风险=(威胁x脆弱(恶意利用的可能性x恶意利用的影响)x资产价值)-安全控制
注:这是一个非常简化的公式的例子。。不幸的是,概率风险的计算并没有这么简单。。
対応
风险评估和分析完成后,组织需要选择对应的选项。。
沟通:
无论如何应对风险,都需要在组织内部就决策进行沟通。。利益相关者必须理解应对风险和不应对风险的成本以及决策背后的合理性。。我们需要明确定义我们的义务和责任,然后分配给每个人和团队。。因为我们需要有合适的人员在过程中合适的时间去应对。。
重复同样的步骤
:这是一个持续的过程。。如果你选择了需要实现控件的计划,你需要持续监控控件。。我们需要的是一个随时间变化的系统。。端口的开放,代码的改变和很多其他因素可能会导致控制在最初实现后的几个月或几年之内被破坏。。
ISRM过程中有很多利益相关者,他们各自承担着不同的责任。。定义这个过程中的各种角色,以及与每个角色相关的责任,是这个过程顺利运行最重要的步骤。
工艺负责人:从高级的角度来看,一个组织可能有财务或审计小组负责企业风险管理(ERM)计划。。另一方面,信息安全或信息保障团队可能是ISRM项目的负责人,负责向ERM发送信息。。ISRM团队需要经常在现场实践流程。。
风险负责人:每个风险都应该由组织成员负责,他们需要从预算中支付修正问题的费用。。也就是说,风险负责人有责任确保对风险采取适当的应对措施。。如果你批准了预算,你就要对风险负责。。
除了风险负责人,还有其他类型的利益相关者,例如系统管理员、工程师和系统用户,他们会影响所选择的计划,并参与计划的实施。。
例如,信息安全团队(流程主管)执行ISRM流程。。如果发现了企业客户关系管理(CRM)系统的可用性风险,流程负责人可以与IT负责人(CRM系统负责人)以及日常管理该系统的IT负责人(CRM系统管理员)合作收集评估风险所需的信息。。
CRM软件的导入是为了让企业的销售部门能够有效地利用,假设CRM软件内的数据不能被利用的话最终会对销售产生影响的情况下,销售部门的负责人(最高销售责任人等)都是风险责任人。。风险负责人负责对信息安全团队、系统管理员、系统负责人等提供的不同应对计划的实施进行决策,并接受剩余风险。。但是,在实施应对计划的时候,系统负责人和系统管理员会再次参与其中。。日常使用CRM软件的销售人员等系统用户也是这个过程的利益相关者,因为他们可能受到所有应对计划的影响。。
风险管理是一项持续的工作,它的成功取决于风险评估、计划沟通以及履行职责的程度。。通过识别最重要的人员、流程和技术来应对上述程序,我们可以为组织中的风险管理策略和程序建立一个坚实的基础,然后随着时间的推移我们可以进一步发展。。。