在當今數位化的世界中,資訊安全已經成為企業業務運作的重要基礎,如何有效地管理風險已成為資訊安全管理人員需要處理的重要任務之一。CISM(Certified Information Security Manager)認證考試是資訊安全管理專業人員的國際性認證之一,其中的Domain 2主要涵蓋風險管理策略和控制措施。本篇文章將分享如何制定有效的風險管理計劃,以幫助大家更好地準備CISM考試和實踐資訊安全管理工作。此外也會記錄一些在考題中有考到的概念讓大家參考
1.了解風險管理的基本概念
在開始制定風險管理計劃之前,必須先了解風險管理的基本概念。風險達成目標的不確定因素。風險管理是一種系統性的方法,用於識別、評估、處理和監視風險,以確保組織達成其目標。
基本上複習手冊裡面有提到各個常見的風險管理框架
以下是一些常見的風險管理框架:
ISO 31000:2018 風險管理 – 框架和指南 ISO 31000 是一個由國際標準化組織(ISO)發布的風險管理框架和指南。該框架提供了一種通用的方法,用於評估、控制和監測組織內部和外部的風險。 (以這個為主體)
NIST Cybersecurity Framework (CSF) NIST CSF 是由美國國家標準與技術研究院(NIST)發布的一個風險管理框架,旨在幫助組織評估和改進其信息安全風險管理實踐。該框架包括 5 個主要組件:識別、保護、檢測、回應和恢復。
COSO ERM 框架 COSO ERM 框架是由 COSO(委員會管理體系結構)發布的一個企業風險管理框架,旨在幫助組織評估和管理其內部和外部的風險。該框架包括 5 個組件:內部環境、目標設定、風險評估、風險回應和控制活動。
FAIR(因素分析信息風險)方法 FAIR 方法是一種風險評估方法,用於評估信息安全風險。該方法基於因素分析,評估風險的頻率和影響,並提供定量的風險評估和分析結果。
ISACA Risk IT 框架 ISACA Risk IT 框架是一個風險管理框架,旨在幫助組織管理其信息技術風險。該框架包括 2 個組件:風險管理流程和風險管理實踐。
總的來說,這些框架提供了不同的方法和模型,以幫助組織評估、控制和監測其內部和外部的風險。組織可以根據自己的需求和特點,選擇最適合自己的框架進行風險管理。
ISO 31000:2018 風險管理 – 框架和指南: https://www.iso.org/standard/65694.html
NIST Cybersecurity Framework (CSF): https://www.nist.gov/cyberframework
COSO ERM 框架: https://www.coso.org/Pages/EnterpriseRiskManagement.aspx
FAIR(因素分析信息風險)方法: https://www.fairinstitute.org/
ISACA Risk IT 框架: https://www.isaca.org/resources/risk-it
2.確定風險管理的範圍
確定風險管理的範圍是制定風險管理計劃的重要步驟。這意味著明確定義風險管理計劃的範圍和目標,以便確定需要管理哪些風險。此外,必須考慮到風險管理計劃的範圍是否與組織的策略、目標和風險承受能力相符合。
3.風險評估
風險評估是一種系統性的過程,用於識別、分析和評估潛在的風險。評估風險時,應考慮影響、概率和風險承受能力等因素。評估風險時應當建立一個風險評估矩陣,將風險按照嚴重程度和發生概率進行評估。最終,將風險分為高、中、低三個等級,並確定每個等級的應對措施。
4.風險處理
在確定風險等級之後,接下來是制定風險處理計劃。根據風險評估結果,需要選擇適當的風險處理策略,例如風險轉移(Transfer)、風險減輕(Mitigate)、風險接受(Accept)或風險避免(Avoid)。同時,也需要將風險處理計劃納入到組織的業務流程中,確保風險處理方案能夠有效執行。
5.制定風險管理計劃
制定風險管理計劃需要考慮多方面因素,例如風險管理的目標、策略和計劃、風險評估結果、風險處理措施和實施進度等。具體步驟包括制定風險管理政策和規範、定義風險管理角色和責任、確定風險管理流程和程序、建立風險監控和評估機制等。此外,還需要確保風險管理計劃能夠有效地與組織的策略和目標相結合,並不斷地進行改進和更新。
6.實施和監視風險管理計劃
制定完風險管理計劃之後,需要實施和監視計劃的執行情況。在實施風險管理計劃時,需要注意員工培訓、溝通和協作等因素。在監視計劃執行情況時,需要建立風險監控機制和評估標準,以確保風險管理計劃的有效性和適時性。同時,也需要不斷地進行評估和改進,以應對組織內外部環境的變化。
接下來分享一些,在寫考題時考到的觀念或是名詞。
在險價值
在CISM(風險管理和保險認證)中,”在險價值”(英文為 “exposure value” 或 “insurable value”)指的是一個資產的價值,其可能遭受損失的風險。在險價值是一個保險公司在計算其所需收取的保險費用時所關注的重要指標,因為這反映了該公司可能需要承擔的損失風險的大小。
在險價值通常用來評估和計算資產的保險費用。在保險公司計算保險費用時,他們會考慮到資產的在險價值,以確定所需的保險費用。通常,在險價值越高,保險費用就越高。在險價值可以用來評估風險並制定風險管理計劃。
在CISM中,“VAR”是指“Value at Risk”,即風險價值。風險價值是用來衡量一個資產或投資組合可能面臨的損失的程度和概率。風險價值是一個常用的風險管理指標,也是金融機構和保險公司使用的重要工具。
在險價值和風險價值(VAR)是兩個不同的概念。在險價值通常是指資產的保險價值,也就是可能需要在保險方面承擔的風險損失。而風險價值(VAR)則是一種用來評估投資組合風險的統計方法,它能夠估計在一定時間內,資產或投資組合可能面臨的最大損失金額。在這種情況下,VAR通常表示為一個金額,例如:某個投資組合的VAR是100萬美元,這意味著在特定的時間內,這個投資組合可能會面臨不超過100萬美元的損失。
因此,在CISM中,在險價值和風險價值(VAR)是不同的概念,它們在風險管理和保險業務中扮演著不同的角色和功能。
風險偏好跟風險容忍度的差異
在信息安全管理(如CISM)中,”風險偏好”和”風險容忍度”這兩個詞彙是用來描述組織對風險的態度和反應。雖然它們有些相關,但意義並不完全相同:
- 風險偏好(Risk Appetite):風險偏好是一種廣泛的風險管理概念,指的是組織願意承擔風險的程度,以達到其業務目標。風險偏好可能會影響組織的策略決策,包括新投資、新業務、或新項目。風險偏好通常是由組織的最高決策層(例如董事會或高級管理人員)設定,並應該與組織的整體戰略和目標保持一致。
- 風險容忍度(Risk Tolerance):風險容忍度則更具體,指的是組織在特定環境或情況下願意接受的風險的最大程度。換句話說,這是組織願意“忍受”的風險的上限,超過這個上限,組織將需要採取行動來降低風險。風險容忍度可以根據不同的業務活動、風險類型或其他特定因素進行調整。
變更管理的步驟
- 變更提出:變更的需求來源可能是各種各樣的,例如新的業務需求、法規改變、安全問題等。無論需求如何,都需要透過正式的流程來提出。
- 變更評估:在進行任何變更之前,都需要對其可能的影響進行評估。這可能包括對變更可能帶來的風險、成本、效益等因素的評估。
- 變更批准:根據變更的評估結果,需要由適當的權限層級來批准進行變更。這可能是由變更管理委員會(Change Advisory Board, CAB)或其他有權批准的人員來完成。
- 變更實施:一旦變更獲得批准,就可以進行實施了。這需要由專業的團隊來進行,並要確保所有的步驟都被妥善記錄和追蹤。
- 後期評估和審查:在變更實施之後,需要對其進行後期評估,以確保變更達到了預期的效果,並且沒有導致任何未預見的問題。如果發現任何問題,可能需要進行進一步的變更或調整。
- 變更關閉:最後,當變更已經成功實施,並且所有後續問題都已解決,可以將變更關閉。
事故管理
- 發佈計劃:這一步通常包括定義發佈的範圍和時間表、確定必要的資源、確定風險和問題管理策略等。
- 設計和建立:在這一步,開發團隊會根據發佈計劃來設計和建立發佈包。這可能包括開發新功能、修復問題、執行測試等。
- 測試和驗證:在發佈包被部署到生產環境之前,需要對其進行嚴格的測試和驗證,以確保其能夠正確地運行,並且不會引入新的問題或風險。
- 部署:一旦發佈包通過了測試和驗證,就可以將其部署到生產環境了。部署需要以有控制、有組織的方式進行,以盡量減少對用戶和業務的影響。
- 評估和審查:在發佈部署之後,需要對其進行評估和審查,以確保發佈達到了預期的效果,並且沒有導致任何意外的問題或風險。
- 關閉和文件化:最後,一旦確定發佈已經成功且穩定,就可以關閉發佈並將其文件化,以便於未來的參考和審計。
配置管理
- 配置識別:確定並記錄組織中的所有重要配置項目(Configuration Items, CI),如硬體、軟體等,並將其記錄在配置管理數據庫(Configuration Management Database, CMDB)中。
- 配置控制:管理所有對配置項目的變更,以確保每次變更都能按照已定義的過程進行。所有的變更都需要經過批准,並在實施後進行審核。
- 配置狀態會計:追蹤每一個配置項目的狀態,包括其在生命週期中的不同階段(如部署、維護、退役等)。
- 配置驗證和審核:定期進行審核和驗證,以確保配置數據庫的資訊是準確和最新的。
- 配置報告:定期生成報告,以便了解配置項目的狀態,包括其變更、問題、風險等。
何謂發佈管理
在CISM(Certified Information Security Manager)中,發佈管理主要關注於一個特定的IT服務管理(ITSM)流程,也被稱為變更管理的一部分。雖然CISM並沒有指定詳細的發佈管理步驟,但是它確實強調了IT服務管理(IT Service Management)的重要性,這其中也包括發佈管理。
在實際操作中,發佈管理可以參考ITIL(Information Technology Infrastructure Library)的指南,該指南對於發佈管理有更詳細的描述。ITIL的發佈管理一般包含以下步驟:
計劃和設計:這是瞭解需求並制定整個發佈計劃的步驟。此步驟包括明確定義發佈的目標和目標用戶,設計發佈方案,評估潛在的風險,並開發一個具體的發佈時間表。
建立和測試:此步驟中,新的功能或變更被建立,並進行一系列的測試以確保其符合原始需求和目標。
審查和批准:此步驟是對建立和測試結果進行審查,確定是否可以進行部署。所有相關的利益者都應該參與到這個過程中,他們需要評估並批准這個發佈。
部署:在獲得批准之後,新的功能或變更將會被部署到生產環境中。
評價和學習:這是一個持續的步驟,其中檢查發佈的結果,確定其是否符合預期的效果,並從中學習以改進未來的發佈。
總結:
有效的風險管理計劃可以幫助組織有效地識別和管理潛在風險,保護組織的資訊資產和業務運作。在制定風險管理計劃時,需要考慮多方面因素,包括風險評估、風險處理、制定風險管理計劃等,並與組織的策略和目標相結合。在實施和監視風險管理計劃時,需要注意員工培訓、溝通和協作等因素,確保計劃能夠有效執行和適時改進。最後,讓我們回歸CISM Domain 2,如果您正在準備CISM考試,需要掌握風險管理策略和控制措施相關知識,並了解如何制定有效的風險管理計劃。通過掌握這些知識,您可以更好地應對資訊安全管理的挑戰,提高組織的風險管理能力,此篇文章也提供了一些在寫考題時會出現的名詞還有一些管理步驟供大家參考。
上一篇 精華摘要:CISM Domain1 筆記,深入了解資訊安全治理
參考文獻:
ISACA. (2019). CISM Review Manual 15th Edition. Rolling Meadows, IL: ISACA.
ISO/IEC 27001:2013 Information technology – Security techniques – Information security management systems – Requirements.
NIST Special Publication 800-39, Managing Information Security Risk: Organization, Mission, and Information System View.
Peltier, T. R. (2016). Information Security Risk Assessment Toolkit: Practical Assessments through Data Collection and Data Analysis (2nd Edition). Amsterdam: Elsevier.
Winkler, V. J. (2014). Conducting a Risk Assessment: A How-To Guide to Mitigate Liability. Boca Raton, FL: Auerbach Publications.