层级

网络安全风险治理

网络安全风险管理

第1层：部分

组织网络安全风险策略的应用以临时方式进行管理。

优先级是临时的，而不是正式基于目标或威胁环境。

组织层面对网络安全风险的认识有限。

该组织不定期地、逐案实施网络安全风险管理。

组织可能没有允许在组织内共享网络安全信息的流程。

该组织通常不知道与其供应商及其获取和使用的产品和服务相关的网络安全风险。

第2 层：风险知情

风险管理实践由管理层批准，但不得作为组织范围的政策制定。

网络安全活动和保护需求的优先级直接取决于组织风险目标、威胁环境或业务/任务要求。

组织层面对网络安全风险有意识，但尚未建立组织范围的网络安全风险管理方法。

在组织目标和计划中考虑网络安全可能会发生在组织的某些级别，但不是所有级别。对组织和外部资产进行网络风险评估，但通常不可重复或重复发生。

网络安全信息在组织内部非正式共享。

该组织意识到与其供应商及其获取和使用的产品和服务相关的网络安全风险，但并未采取一致或正式的行动来应对这些风险。

第 3 层：可重复

组织的风险管理实践已正式批准并表述为政策。

风险知情的政策、流程和程序按预期定义、实施和审查。

组织网络安全实践会根据风险管理流程对业务/任务要求、威胁和技术环境的变化的应用定期更新。

有一种组织范围的方法来管理网络安全风险。网络安全信息会定期在整个组织内共享。

采用一致的方法有效应对风险变化。人员具备履行其指定角色和职责的知识和技能。

该组织始终如一地准确地监控资产的网络安全风险。高级网络安全和非网络安全高管定期就网络安全风险进行沟通。高管确保在组织的所有运营线中考虑网络安全。

组织风险策略以与其供应商及其获取和使用的产品和服务相关的网络安全风险为依据。人员通过书面协议等机制正式对这些风险采取行动，以传达基线要求、治理结构（例如风险委员会）以及政策实施和监控。这些行动是一致的，并按预期实施，并受到持续的监测和审查。

第4层：自适应

有一种组织范围的方法来管理网络安全风险，该方法使用风险知情的策略、流程和程序来解决潜在的网络安全事件。在做出决策时，可以清楚地了解和考虑网络安全风险与组织目标之间的关系。高管在与财务和其他组织风险相同的背景下监控网络安全风险。组织预算基于对当前和预测的风险环境和风险承受能力的理解。

业务部门在组织风险承受能力的背景下实施执行愿景并分析系统级风险。

网络安全风险管理是组织文化的一部分。它从对以前活动的认识和对组织系统和网络上活动的持续认识演变而来。组织可以快速有效地考虑业务/任务目标的变化，以应对和沟通风险。

该组织根据以前和当前的网络安全活动调整其网络安全实践，包括经验教训和预测性指示RS。

通过结合先进的网络安全技术和实践的持续改进过程，该组织积极适应不断变化的技术环境，并及时有效地应对不断演变的复杂威胁。

该组织使用实时或近乎实时的信息来了解与其供应商及其获取和使用的产品和服务相关的网络安全风险，并始终如一地采取行动。

网络安全信息在整个组织内以及与授权的第三方不断共享。