網絡安全風險管理介紹
2021年10月22日
為什么談論風險管理����?
數字技術改變了我們的經濟、社會和個人生活�,促進了科學、物流�、金融、通信和一系列其他基本活動的改進����。因此,我們開始依賴數字技術�����,這導致人們對這些技術的可靠性抱有很高的期望��。
每個組織都必須就在保護其技術和服務上花費多少時間和金錢做出艱難的決定�����;風險管理的主要目標之一是告知和改進這些決策���?����?v觀歷史�����,人們都不得不應對危險�,但直到最近,他們才能夠以系統(tǒng)地預測并渴望控制風險的方式來應對�。
每個人的指南
本文針對一系列不同的受眾,從非技術人員到傳達網絡風險評估的人員��,再到根據網絡風險評估做出決策的人員����。這是因為為了有用,網絡風險管理需要讓沒有正式風險知識的人能夠理解��。
風險管理技術
目前提出了兩種截然不同(但互補)的風險評估技術�����。
需要明確的是�,我們不提供有關如何應用現有技術的藍圖和分步說明���。但是我們將描述每種技術背后的一些核心概念��,并提供有關如何實際應用技術的更詳細指導的路標�����。
結束“勾選框”風險管理
正如我們將在風險基礎部分討論的那樣��,僅出于“合規(guī)”目的而進行網絡風險管理可能會導致以“勾選框”方式管理風險���,從而產生意想不到的負面后果。這可以防止組織質疑他們是否勾選了正確的方框����,從而導致對風險管理的程度過度自信。
由于這些原因���,本文不是規(guī)定性的��;勾選框風險管理可能比根本沒有風險管理更糟糕���。本文中的任何一種技術都不會適用于所有情況�����。在選擇應用于特定網絡安全問題的風險管理技術時���,僅通過在本文中指出其存在來證明該選擇是合理的。需要解釋為什么選擇的技術與問題相關�����。
從哪兒開始�����?
對于想要一些簡單實用的建議的人�,關于風險和網絡風險的基本原理:掌握基礎知識將是一個很好的起點。
進行網絡風險評估的專業(yè)人員(或監(jiān)督技術項目的項目經理)可能希望從組件和系統(tǒng)驅動的風險管理之間的區(qū)別開始�。
負責組織網絡風險管理戰(zhàn)略方法的個人應首先考慮我們關于安全治理和風險信息多樣性的指導。
江蘇國駿-打造安全可信的網絡世界
為IT提升價值
http://czzdkc.cn/
免費咨詢熱線:400-6776-989
關注公眾號
獲取免費咨詢和安全服務
