日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
如何制定安全風(fēng)險管理計劃

問:我們公司第一次制定正式的安全風(fēng)險管理計劃,您能提供一些安全風(fēng)險管理計劃示例嗎,或者就安全風(fēng)險管理計劃應(yīng)包括哪些內(nèi)容給我們提供一些建議嗎?

答:在制定企業(yè)安全風(fēng)險管理計劃時,有許多資料可供參考。第一份應(yīng)該參考的文檔是NIST(美國國家標(biāo)準(zhǔn)與技術(shù)研究所)特別出版物800-53 V3——《美國聯(lián)邦信息系統(tǒng)和組織安全控制建議(Recommended Security Controls for Federal Information Systems and Organizations)》。該標(biāo)準(zhǔn)的第三章給出了一個規(guī)范的流程圖(如圖1所示),可以為你們制定安全風(fēng)險管理計劃和框架的關(guān)鍵流程提供有益的指導(dǎo)。

圖1

從本質(zhì)上講,制定安全風(fēng)險管理計劃的出發(fā)點(diǎn)是將“組織投入”和“體系結(jié)構(gòu)描述”作為基本信息,幫助企業(yè)進(jìn)行資產(chǎn)識別和分類。

例如,組織投入可能包括組織不應(yīng)受到妨礙的核心業(yè)務(wù)、企業(yè)的主要客戶以及企業(yè)必須遵守的主要適用法律等。

體系結(jié)構(gòu)描述包括企業(yè)使命/業(yè)務(wù)流程、系統(tǒng)體系結(jié)構(gòu)以及需要保護(hù)的信息系統(tǒng)的邊界。

另一份值得參考的文檔是NIST特別出版物SP 800-39——《信息系統(tǒng)風(fēng)險管理草案(DRAFT Managing Risk from Information Systems)》,該文檔提供了在信息系統(tǒng)和基礎(chǔ)設(shè)施中實(shí)行安全控制的組織的風(fēng)險管理常規(guī)視圖。該文檔還提供了一個風(fēng)險管理的高層次視圖,如圖2所示。

圖2

對制定風(fēng)險管理計劃可能有所幫助的第三份文檔是《信息安全(Information Security)》雜志2009年6月發(fā)表的一篇開創(chuàng)性的文章——《如何制定融合業(yè)務(wù)和安全需求的風(fēng)險管理方案(How to write a risk methodology that blends business, security needs)》,其作者是我的同事Cris Ewell。Cris在這篇文章中指出,制定風(fēng)險管理計劃和流程時應(yīng)注意以下要點(diǎn):

“風(fēng)險管理流程必須植根于安全性原則并與安全計劃整合,安全計劃包括業(yè)務(wù)需求、合理注意事項、當(dāng)前攻擊向量以及符合法規(guī)要求和合同要求。遵守標(biāo)準(zhǔn)和法規(guī)的要求有助于表明合理注意,但不應(yīng)成為安全計劃的推動力。風(fēng)險管理不可能解決所有的威脅和脆弱性。在一個組織中,信息安全實(shí)踐的發(fā)展方向、評估指標(biāo)和改進(jìn)方法的推動力應(yīng)該是降低剩余風(fēng)險,而不是實(shí)行指令性控制?!?/p>

在這篇文章中,Cris還從戰(zhàn)略、戰(zhàn)術(shù)和業(yè)務(wù)三個方面介紹了如何構(gòu)建風(fēng)險管理框架,共涉及下列13個安全要素:

◆戰(zhàn)略類

1.組織和授權(quán)

◆戰(zhàn)術(shù)類

1.策略

2.審計與合規(guī)性

3.風(fēng)險管理

4.隱私

5.突發(fā)事件管理

6.教育和培訓(xùn)

◆業(yè)務(wù)類

2.業(yè)務(wù)管理

3.技術(shù)安全和訪問控制

4.監(jiān)視、測量和報告

5.物理和環(huán)境安全

6.資產(chǎn)識別和分類

7.帳戶管理和外包  

你可能還想從互聯(lián)網(wǎng)上查找其他的風(fēng)險管理計劃資料。不過,需要指出的是,前面提到的NIST文檔和Cris的論文都是優(yōu)秀的資源,而且可以免費(fèi)獲得。

【編輯推薦】

  1. 天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)
  2. 完全解密企業(yè)信息安全風(fēng)險評估

網(wǎng)頁名稱:如何制定安全風(fēng)險管理計劃
網(wǎng)站URL:http://www.5511xx.com/article/ccocphj.html