freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

浅谈“跨多区域业务”企业网络安全风险管理实践
2022-04-19 16:40:39

前言

   停更近一年,主要是换了赛道进行发展,回想起一个人的“安全部”的经历,很多经验的积累过程还历历在目。本次分享的话题是“跨多区域业务企业网络安全风险管理实践”,也是在那段特殊经历主要工作内容之一,做个总结,与众共勉。

0x01.风险管理的挑战

   公司作为传统保险公司,业务为境外保险业务,涉及不同国家、地区的网络安全合规要求,为金融科技应用在业务服务,开展风险管理活动,带来了多样性、复杂性的特点。

   多样性方面,不同国家、地区,对于网络安全监管形式表现不一,比如新加坡金融管理局,对保险机构提出了详细的科技风险管理要求,网络安全作为其中的一部分,每年要求提供相应材料上报;香港保监局则相对宽松,自成立以来,发布了《网络安全指引》,除了举办相关网络安全介绍会外,尚未开展实质性工作推动和检查;澳门同内地相近,颁布了《网络安全法》,实行类似内地等级保护的模式,金融管理局通过高频的举措,推动企业落实等级保护的要求。

   复杂性方面,不同国家、地区,对网络安全划分的管理领域,细则要求不尽相同,比如,香港保监局的《网络安全指引》主要从网络安全政策、人员培训测试、系统安全测试等方面提出了实践要求,并未给出具体的细则要求;并且,《网络安全指引》并非法律性文件,未对企业约定违反相关要求作出惩罚性要求。相比澳门,颁布了《网络安全法》,作为法律按要求,明确了实行等级保护要求,且提出了违反该项法律带来的惩罚措施,其惩罚力度,超过了内地《网络安全法》的力度,但是等级保护内容的相关要求,相对内地等级保护要求,较为宽松且部分内容较为细致。因此,风险管理活动如何从成本效益、落地实践考量出发,并处理好不同国家、地区监管活动带来的多样性和复杂性的特点,具有一定的挑战性。

0x02.对风险管理的思考

   前文提到,笔者在公司开展风险管理活动需要考量的要素有成本效益、落地实践及满足多样性和复杂性的合规要求。在成本效益方面,笔者认为是企业开展风险管理活动必须考量的要素。毕竟,实施风险管理控制的成本超过了潜在风险损失,风险管理控制实施的必要性,就需要审慎评估。落地实践方面,风险管理活动一般分为风险识别、风险评估、风险处置、风险监测等实施步骤,呈现出环节多,知识储备要求高,涉及内部组织广的特点,如何推动有效落地,亦成为笔者一项不小的挑战。最后,满足多样性和复杂性的合规要求方面,如何化解不同国家、地区带来的不同监管力度、监管方式和范围带来的差异性,有效平衡成本效益,将是衡量风险管理活动开展成功与否的重要因素。

   经过对上述内容的思考,笔者依次从处理多样性和复杂性、成本效益、落地实践出发考虑,从以下方面规划风险评估活动的规划:

   1.紧靠业务,保障核心业务合规。由于业务涉及多个国家、地区,笔者分析了公司业务量贡献大的区域,依次排序,优先将该区域的合规要求作为风险评估活动开展的重要依据,其他次之,为设计满足成本效益的风险评估活动奠定基础,同时解决多样性和复杂性的问题。

   2.突出重点,覆盖核心、高风险系统。公司大大小小业务系统好几十个,若完全照搬合规要求完全落实,一是个别系统价值低,风险小,二是资源浪费,往往存在控制风险成本高于系统本身创造价值的情况。因此,从核心与否、是否具有高风险属性两个维度,将业务系统进行优先级排序,确保核心的、高风险的系统必须满足风险控制要求,非核心的、低风险的系统满足必须的风险控制要求,进而降低在风险评估活动投入的成本。

   3.工具思维,简化风险评估活动。风险评估活动开展有自评估、外部评估等形式,过程可综合运用现场访谈、资料审阅、现场检查、技术测试等方式。笔者主要考虑的问题在于如何简化评估活动?分析下来,除技术测试外,前面三种方式发起的基础为风险评估矩阵。结合过往调查问卷设计尽量选择题的思维,将风险评估矩阵进一步细化成选择题的方式,形成一个选择工具表格,尽量让被评估对象做选择题,简化评估过程,并聚焦每个风险领域突出的风险,最终确保风险评估活动的落地性。

0x03.风险管理的执行

   通过前面的思考,明确了如何解决风险管理活动的挑战,接下来,就是开展具体执行的内容:

   1.建立风险评估矩阵。将各地网络安全法律法规、政府规章进行整合,划分控制领域,做好与合规条款的映射关系,形成风险评估矩阵。这里着重介绍两点,一是划分控制领域这块,主要借鉴了ISO27001和国内等级保护,但又有所区别,在于前述标准和实践,划分的比较细,安全策略、安全组织都是单独一个控制域,但对公司而言,安全策略、安全组织等内容,评估过程不会涉及相关部门,即使存在风险,也是一次性风险,专门独立成一个控制域,从后面风险管理运营来讲,意义不大,因此统一归为通用要求,其他频发、易发问题的控制域,则尽量拆分比较细。二是映射关系必须做好,每一项控制点,都需要映射好合规要求,一方面是应对评估对象管控要求的依据和监管单位的疑问解答,另外一方面是后续风险分析可以综合判断风险的大小。

   2.开展风险评估。这部分选取了外部评估的形式,主要有两点考虑,一是人力资源不足,二是公司首次开展网络安全风险评估,评估对象对这项活动需要更多的了解,才能更好的配合。评估过程就与国标风险评估的标准过程就差异性不大,安排关键人员访谈、资料审阅、现场检查、技术测试等。

   3.风险评估报告。这是整个风险评估活动最重要的部分,毕竟,风险评估活动的成功与否,最终是通过报告呈现给管理层,管理层认可,可以获取更多的资源投入。这里着重介绍几点体会,一是报告的结构。既然是为发现风险,化解风险开展的活动,那么报告首先肯定要体现项目发现风险的情况,从总到分依次快速介绍,很多评估公司的报告模板就是一开始背景一大段,依据一大段,评估方法一大段,整份报告一开始好几页都在讲管理层不关心,所以这些都调整为附录性介绍,报上上来就直接呈现项目价值,告诉管理层,这就是我们所面临的风险。二是风险问题的描述要准确到位。这里的一个基本原则是问题描述的边界、定义要清晰,让管理层更加容易的理解问题影响的范围和严重性,有助于管理层提升对问题的认可和风险的把握判断,对于执行项目的你来讲,也更容易得到认可和获得资源。三是风险处置措施必须紧跟风险问题。有个经验,有个风险问题提了很久一直获取不到资源解决,通过风险问题揭示之后,管理层看了处置措施,当场指派了人员会后开展整改。个人理解是风险处置措施主要的资源为人力资源和资金资源,人力资源方面建议着重描述相关方需要做啥,怎么做,做到什么程度;资金资源方面建议先预估一个资金投入范围,这样,管理层亦有个预估处置风险或接受风险。

0x04.总结

 上述是开展风险评估管理项目一些体会做了记录,当中细节就不一一介绍,这里简单做个总结:

   1、开展风险评估管理项目/活动除了具备专业领域的知识、技能外,还需要具备良好的项目管理经验,虽然上述记录没有介绍项目管理相关内容,但实践中,对于风险评估各阶段开展把控来讲,至关重要;

   2、开展风险评估项目/活动,ISO27001、等级保护和国标,是很好的参考工具和执行标准,但实践过程一定要结合公司业务特性、系统应用场景开展评估,不能生搬硬套,不能很容易导致非风险问题花大力气整改,结果事与愿违;

   3、没有尽善尽美,只有持续改进,风险随着新技术应用、新场景出现,很多公司前面没有用到的技术、场景,自然不会包含相关风险,但是,随着新技术、新场景的应用,新的风险也将会出现,比如疫情的出现,让保险公司纷纷发展远程投保,这类新的业务场景,伴随着新技术的应用,也就伴随着新的风险。所以,风险矩阵是一个值得持续更新、改进的工具。

本文作者:, 转载请注明来自FreeBuf.COM

# 风险管理 # 等级保护2.0 # 网络安全
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑