問：我們公司第一次制定正式的安全風(fēng)險管理打算，您能供給一些安全風(fēng)險管理打算示例嗎，或者就安全風(fēng)險管理打算應(yīng)包含哪些內(nèi)容給我們供給一些建議嗎？

答：在制定企業(yè)安全風(fēng)險管理打算時，有許多材料可供參考。第一份應(yīng)當(dāng)參考的文檔是NIST（美國國家標(biāo)準(zhǔn)與技巧研究所）特別出版物800-53 V3——《美國聯(lián)邦信息系統(tǒng)和組織安全把持建議（Recommended Security Controls for Federal Information Systems and Organizations）》。該標(biāo)準(zhǔn)的第三章給出了一個規(guī)范的流程圖（如圖1所示），可認(rèn)為你們制定安全風(fēng)險管理打算和框架的要害流程供給有益的領(lǐng)導(dǎo)。

圖1

從本質(zhì)上講，制定安全風(fēng)險管理打算的出發(fā)點(diǎn)是將“組織投入”和“系統(tǒng)結(jié)構(gòu)描寫”作為基礎(chǔ)信息，幫助企業(yè)進(jìn)行資產(chǎn)辨認(rèn)和分類。

例如，組織投入可能包含組織不應(yīng)受到妨礙的核心業(yè)務(wù)、企業(yè)的重要客戶以及企業(yè)必須遵照的重要實(shí)用法律等。

系統(tǒng)結(jié)構(gòu)描寫包含企業(yè)使命/業(yè)務(wù)流程、系統(tǒng)系統(tǒng)結(jié)構(gòu)以及需要保護(hù)的信息系統(tǒng)的邊界。

另一份值得參考的文檔是NIST特別出版物SP 800-39——《信息系統(tǒng)風(fēng)險管理草案（DRAFT Managing Risk from Information Systems）》，該文檔供給了在信息系統(tǒng)和基礎(chǔ)設(shè)施中履行安全把持的組織的風(fēng)險管理慣例視圖。該文檔還供給了一個風(fēng)險管理的高層次視圖，如圖2所示。

圖2

對制定風(fēng)險管理打算可能有所幫助的第三份文檔是《信息安全（Information Security）》雜志2009年6月發(fā)表的一篇開創(chuàng)性的文章——《如何制定融合業(yè)務(wù)和安全需求的風(fēng)險管理計劃（How to write a risk methodology that blends business, security needs）》，其作者是我的同事Cris Ewell。Cris在這篇文章中指出，制定風(fēng)險管理打算和流程時應(yīng)注意以下要點(diǎn)：

“風(fēng)險管理流程必須植根于安全性原則并與安全打算整合，安全打算包含業(yè)務(wù)需求、合理注意事項(xiàng)、當(dāng)前攻擊向量以及符合法規(guī)請求和合同請求。遵照標(biāo)準(zhǔn)和法規(guī)的請求有助于表明合理注意，但不應(yīng)成為安全打算的推動力。風(fēng)險管理不可能解決所有的要挾和脆弱性。在一個組織中，信息安全實(shí)踐的發(fā)展方向、評估指標(biāo)和改良方法的推動力應(yīng)當(dāng)是下降剩余風(fēng)險，而不是履行指令性把持。”

在這篇文章中，Cris還從戰(zhàn)略、戰(zhàn)術(shù)和業(yè)務(wù)三個方面介紹了如何構(gòu)建風(fēng)險管理框架，共涉及下列13個安全要素：

◆戰(zhàn)略類

1.組織和授權(quán)

◆戰(zhàn)術(shù)類

1.策略

2.審計與合規(guī)性

3.風(fēng)險管理

4.隱私

5.突發(fā)事件管理

6.教導(dǎo)和培訓(xùn)

◆業(yè)務(wù)類

2.業(yè)務(wù)管理

3.技巧安全和訪問把持

4.監(jiān)督、測量和報告

5.物理和環(huán)境安全

6.資產(chǎn)辨認(rèn)和分類

7.帳戶管理和外包

你可能還想從互聯(lián)網(wǎng)上查找其他的風(fēng)險管理打算材料。不過，需要指出的是，前面提到的NIST文檔和Cris的論文都是優(yōu)良的資源，而且可以免費(fèi)獲得。