为您的组织选择风险管理框架

2020-11-24 08:00:00 · 飞浪

介绍为什么您需要一个风险管理框架？您的组织如何从中受益？这些问题可以通过多种方式回答。风险管理框架提供了安全控制的路线图，应考虑这些控制以降低组织的风险。它可以帮助组织评估他们实施的安

介绍

为什么您需要一个风险管理框架？您的组织如何从中受益？这些问题可以通过多种方式回答。风险管理框架提供了安全控制的路线图，应考虑这些控制以降低组织的风险。它可以帮助组织评估他们实施的安全控制的成熟度。另一个好处是能够证明在保护客户数据方面尽职尽责。

基本概念

从最基本的角度来说，框架可以定义为某事物的底层和支撑结构。根据这一定义，可以简单地将其扩展为风险管理框架 (RMF)，即为管理组织风险水平而建立的专门结构。

框架中的一个核心概念是它们描述了特定环境中人员、流程和技术之间的交互。这些交互带来了监督的概念，即角色、职责、治理和报告的定义。

RMF 定义人们如何利用流程来管理技术、确保监督并降低组织的风险敞口。

ISO、NIST 和 RISK IT 等框架是风险管理最常见的三种方法。

准备做出 RMF 决定

对于公司来说，确定哪种 RMF 方法最适合其组织以及如何有效实施可能具有挑战性。在决定采用哪种 RMF 之前，可以采取几个步骤来提高获得积极结果的几率。

考虑人员和现有的安全文化

无论您选择哪种框架，影响成功的一个关键因素是组织的安全文化的强度。在选择框架之前，花些时间帮助人们做好准备，帮助他们了解 RMF 的重要性和好处。投资强大的安全文化将使所选 RMF 更容易被接受。这也是获得高管层认可和支持的好时机。

了解现有流程

盘点一下您认为目前已实施的风险管理流程。作为后续活动，请评估您认为这些流程的成熟度级别：初始、可重复、定义、能力或高效。稍后，这将帮助您了解您可能已经与哪个框架保持一致。

了解您的技术格局

这包括平台、开发工具、软件、数据库、移动技术和架构。在进行 RMF 评估和决策时，努力减少技术债务。这些行动将帮助您管理 RMF 需要涵盖的范围。

考虑您的企业所处的监管环境

影响 RMF 决策的另一个关键因素是影响您特定业务线的合规性要求。需要关注的一些监管领域包括 GDPR、GLBA、FISMA、HIPAA 和 SOX。很多时候，公司还需要了解基于合同的标准，例如 PCI、SOC1、SOC 2 和 HITRUST。

了解流行的框架

有许多可用的框架，但本指南将重点介绍几个比较流行的框架。

ISO 27005

国际标准化组织 (ISO) RMF 旨在成为公司整体 IT 战略和运营的核心部分。就像变更控制实践或业务连续性规划嵌入 IT 中一样，ISO RMF 也是如此。

ISO 使用以下模型解决风险：

建立背景：收集有关 RM 活动的组织、目的和范围的相关信息

风险评估：在离散时间点进行的评估旨在提供风险视图

风险处理：确定优先级、评估并实施适当的控制措施

风险接受：继续增加控制措施、转移剩余风险或接受

风险沟通：为所有利益相关者建立对风险的共同理解

风险监控：定期监控和审查，以确保风险控制按预期运行

NIST SP 800-30/39/53

美国国家标准与技术研究院 (NIST) 提供了一系列可供您利用的风险管理和控制框架。

本质上，NIST 将控制分为三类：技术、操作和管理。然后使用基于以下所述关键功能的模型来解决所有这些类别：

识别：建立流程来发现和分类风险并识别控制措施

保护：实施控制措施以降低或最小化风险

检测：发出警报并识别控制故障

响应：针对发现的问题采取行动的结构化流程

恢复：将失效的控制恢复到可接受的操作参数的定义过程

风险信息技术

RMF 领域相对较新的是 ISACA 的风险 IT 指南。Risk IT 于 2009 年发布，旨在提供将 IT 风险与业务风险联系起来的综合 RMF。

如下文所强调的，风险 IT 的重点关注领域集中在风险治理、评估和应对流程上。

风险治理：确保风险管控实践融入企业

风险评估：识别和分析 IT 相关风险的过程

风险应对：制定计划，确保根据业务优先级处理与 IT 相关的风险问题和事件

做出决定

决定使用哪种 RMF 的最佳方法可能不是尝试确定正确的框架，而是确定最合适的框架。在决策过程中，有一些指导原则可用于帮助回答您将面临的难题。

寻找对齐，而不是直接匹配

没有完美的匹配，但在每个框架和模型中，都会存在您的组织需要不同程度匹配的领域。

尽早识别外部压力并持续关注

这包括监管和合规问题。确保您选择的框架足以满足您在这些领域可能面临的要求。

在程序级别而不是项目级别进行操作

选择和实施 RMF 时做出的决策跨越了许多组织界限和孤岛。若要成功实施，就需要协调一致的努力。

保持将标准与框架分离的纪律

标准是实施某项工作的可接受方式；它定义了应该如何做某事。框架提供了可操作的指南，说明应该做什么，但并未详细说明如何做。可以将其视为列出贵组织以后将执行的要求。在评估 RMF 时，请确保从框架如何设定目标和定义应实施的控制的角度来看待它。

做好适应的准备

选择一个框架，然后根据自己的需求进行调整。不要害怕考虑针对业务的不同领域使用不同的框架。通常，母公司可能采用一种框架，而另一种框架对子公司来说更有意义。

结论

选择 RMF 是一项挑战，但只要进行适当的规划、准备和选项分析，就可以克服这一挑战。对于哪种框架最适合特定组织，没有单一的正确答案。相反，需要了解每个框架，并将每个框架的质量与组织实施 RMF 的目标和目的进行比较。

_{免责声明：本内容来源于第三方作者授权、网友推荐或互联网整理，旨在为广大用户提供学习与参考之用。所有文本和图片版权归原创网站或作者本人所有，其观点并不代表本站立场。如有任何版权侵犯或转载不当之情况，请与我们取得联系，我们将尽快进行相关处理与修改。感谢您的理解与支持！}

_查看原文

技术指南

阅读全文