风险管理之网络安全风险管理工具箱

在本页

• 1 .是否需要一种正式的方法来管理网络风险？

• 2 .网络安全风险管理工具箱中可能有什么？

• 3 .补充工具和方法

拥有正确的风险管理技术、工具或方法来应对组织面临的网络安全挑战。

每个组织都是不同的，他们面临的风险管理挑战也不同。这意味着组织将需要使用不同的风险管理工具、方法和途径来帮助他们应对不同的风险管理挑战。组织的网络安全风险管理工具箱中可以包含许多途径、方法和工具，但没有任何一种工具、方法或途径能够提供有效管理所有网络安全风险所需的信息和观点。

正如安全是组织内每个人的责任一样，安全决策也可以发生在各个级别。为了实现这一目标，组织的高级领导层应该使用安全治理来列出各种风险信息。

了解所做选择的好处和局限性非常重要。最终，如果您使用的方法不能帮助您了解需要保护的内容、原因和方式，那么应该寻求替代方法。

对工具、方法和方法的选择也可能受到业务限制的影响，例如可用的财务、资源和风险管理技能，并且可能需要组织的部门与合作伙伴组织使用的工具或方法保持一致。

有些工具、方法和方法是免费的，并且相对易于使用，而另一些则需要订阅、广泛的培训和支持治理结构，因此选择适合风险挑战的工具至关重要。

---

是否需要一种正式的方法来管理网络风险？

在我们开始考虑网络安全风险管理工具箱中可能包含的工具、方法和方法之前，值得说明的是，在某些情况下，进行网络安全风险评估和分析可能几乎没有什么收获。这些情况可能包括：

• 那些您面临众所周知和易于理解的问题、已知良好架构或风险处理模式的情况可以遵循和应用。

• 已经进行风险评估以支持您拥有或打算实施的安全基线的风险评估，例如《小型企业指南》或《网络要点》

• 或者某些客户、部门或业务的特定法规要求您应用控制措施或控制措施集以符合合同和法规。

您应该仅在您认为风险管理挑战超出任何预定义方案或控制集范围以及可能存在风险管理差距或缺陷的领域应用额外的风险评估和分析工具、方法和途径。

---

网络安全风险管理工具箱中可能有什么？

在开发风险管理工具箱时，请务必记住，这并不意味着您需要停止使用或扔掉已经使用的任何东西。如果您当前使用的途径、方法和工具能够有效解决您的网络安全风险挑战并满足您的组织的需求，那么您应该继续使用它们，并让它们成为您的风险管理工具箱的基础。但请考虑用新的或替代的方法、方法和工具来补充这些内容，以提高您对网络安全风险的看法和理解。

以下列表旨在提出任何组织都可以考虑添加到其风险管理工具箱中的一些工具、方法和途径，无论它们是从头开始还是在某些现有工具、方法和途径的基础上构建。此列表无意以任何方式进行优先级、详尽或完整，组织需要根据他们面临的风险管理挑战以及他们可用的资源来选择他们使用的内容。

通过以下提供的链接可以查看有关此处涵盖的每个领域的更多信息：

• 风险管理信息。为了尽可能地了解风险，需要各种风险管理信息。

• 网络安全风险量化 网络安全风险分析和评估主要采用定性方法进行。一种补充方法可能是在适当且有用的情况下使用定量方法。

• 风险评估方法。从不同角度思考网络安全风险管理挑战有助于提供最佳信息来指导决策。系统方法与组成方法不同，每种方法都提供了不同的风险视角。

• 组件驱动方法。这些是理解和管理网络风险最常用的风险评估方法。这些分析了各个系统组件面临的网络安全风险，并且最好应用于系统生命周期、运行或设计和开发过程中的各个点，在这些点上可以很好地理解其组成部分及其之间的关系。

• 系统方法。这些方法提供了风险的系统视角，并且可以在系统的确切物理设计确定之前使用，例如在系统设计的概念阶段。这些系统驱动的方法可以帮助您识别系统组件之间的交互所产生的风险，并且当系统组件之间的交互特别复杂或不太容易理解时（例如当将新元素引入到先前的元素中时）可能会很有用。易于理解的系统）。这种方法还可以帮助您整合不同类型的风险评估，例如网络安全和网络物理系统中的安全风险。

•  应不断从您用于处理网络安全风险的控制措施（无论是程序、人员、物理还是技术）中寻求保证。因此，（通过有效利用保障活动）获得对风险处理的信心对于管理网络风险至关重要。

---

补充工具和方法

有许多补充工具、方法和技术可以帮助您了解和管理网络安全风险。下面介绍了一些内容，但您应该根据自己的需要寻求扩展工具箱，采用适合您的方法和技术。

• 攻击树 可用于探索可能导致成功攻击的事件链，并可以帮助您了解对系统进行一系列潜在攻击的可行性。攻击树可以在敏捷环境中有效使用，因为攻击树可以与迭代开发一起构建，从而使您能够在开发的同时发现并解决安全风险。

• 威胁建模涉及使用多种不同的技术、工具和方法，帮助您更好地了解所面临的技术威胁，了解您正在构建或使用的系统或服务可能如何受到攻击以及如何管理风险由那些攻击所构成。

• 网络安全场景可以帮助您了解您可能面临的网络安全风险挑战，并制定对网络安全事件的响应措施，为事件发生时做好准备。

笔记

上述途径、方法、工具和技术并不相互排斥，因此可以在系统生命周期的不同阶段相互补充，或者对面临的网络安全风险、它们如何实现以及如何获得不同的看法，将如何管理它们。

该系列前期内容回顾：

网络安全风险管理框架

网络风险的基本原理和基础知识

英国国家网络安全中心的风险管理指南简介

>>>等级保护<<<

开启等级保护之路：GB 17859网络安全等级保护上位标准

网络安全等级保护：什么是等级保护？

网络安全等级保护：等级保护工作从定级到备案

网络安全等级保护：等级测评中的渗透测试应该如何做

网络安全等级保护：等级保护测评过程及各方责任

网络安全等级保护：政务计算机终端核心配置规范思维导图

网络安全等级保护：信息技术服务过程一般要求

网络安全等级保护：浅谈物理位置选择测评项

闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载

闲话等级保护：什么是网络安全等级保护工作的内涵？

闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求

闲话等级保护：测评师能力要求思维导图

闲话等级保护：应急响应计划规范思维导图

闲话等级保护：浅谈应急响应与保障

闲话等级保护：如何做好网络总体安全规划

闲话等级保护：如何做好网络安全设计与实施

闲话等级保护：要做好网络安全运行与维护

闲话等级保护：人员离岗管理的参考实践

信息安全服务与信息系统生命周期的对应关系

>>>工控安全<<<

工业控制系统安全：信息安全防护指南

工业控制系统安全：工控系统信息安全分级规范思维导图

工业控制系统安全：DCS防护要求思维导图

工业控制系统安全：DCS管理要求思维导图

工业控制系统安全：DCS评估指南思维导图

工业控制安全：工业控制系统风险评估实施指南思维导图

工业控制系统安全：安全检查指南思维导图（内附下载链接）

业控制系统安全：DCS风险与脆弱性检测要求思维导图

>>>数据安全<<<

数据治理和数据安全

数据安全风险评估清单

成功执行数据安全风险评估的3个步骤

美国关键信息基础设施数据泄露的成本

备份：网络和数据安全的最后一道防线

数据安全：数据安全能力成熟度模型

数据安全知识：什么是数据保护以及数据保护为何重要？

信息安全技术：健康医疗数据安全指南思维导图

金融数据安全：数据安全分级指南思维导图

金融数据安全：数据生命周期安全规范思维导图

>>>供应链安全<<<

美国政府为客户发布软件供应链安全指南

OpenSSF 采用微软内置的供应链安全框架

供应链安全指南：了解组织为何应关注供应链网络安全

供应链安全指南：确定组织中的关键参与者和评估风险

供应链安全指南：了解关心的内容并确定其优先级

供应链安全指南：为方法创建关键组件

供应链安全指南：将方法整合到现有供应商合同中

供应链安全指南：将方法应用于新的供应商关系

供应链安全指南：建立基础，持续改进。

思维导图：ICT供应链安全风险管理指南思维导图

英国的供应链网络安全评估

>>>其他<<<

网络安全十大安全漏洞

网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图

网络安全等级保护：应急响应计划规范思维导图

安全从组织内部人员开始

VMware 发布9.8分高危漏洞补丁

影响2022 年网络安全的五个故事

2023年的4大网络风险以及如何应对

网络安全知识：物流业的网络安全

网络安全知识：什么是AAA（认证、授权和记账）？

美国白宫发布国家网络安全战略

开源代码带来的 10 大安全和运营风险

不能放松警惕的勒索软件攻击

10种防网络钓鱼攻击的方法

5年后的IT职业可能会是什么样子？

累不死的IT加班人：网络安全倦怠可以预防吗？

网络风险评估是什么以及为什么需要

美国关于乌克兰战争计划的秘密文件泄露

五角大楼调查乌克兰绝密文件泄露事件

湖南网安适用《数据安全法》对多个单位作出行政处罚

如何减少制造攻击面的暴露

来自不安全的经济、网络犯罪和内部威胁三重威胁

2023 年OWASP Top 10 API 安全风险

全国网络安全等级测评与检测评估机构目录（6月6日更新）

什么是渗透测试，能防止数据泄露吗？

SSH 与 Telnet 有何不同？

原文始发于微信公众号（祺印说信安）：风险管理之网络安全风险管理工具箱