信息安全风险管理(ISRM)专门描述与信息技术的使用有关的风险管理. Dabei werden Risiken, die die Geheimhaltung, 有关一个组织资产的完整性和是否存在的问题, ermittelt, bewertet und bearbeitet. Dieses Verfahren zielt darauf ab, 按照一个组织一般的可承受风险. Ein Unternehmen sollte nicht davon ausgehen, dass alle Risiken beseitigt werden können, sondern vielmehr danach trachten, 应当承认并实现联合国实际存在的合理安全风险.
ISRM-Phasen
Erkennung
- Assets festlegen: 哪些数据,系统,或是其他资产属于你公司的“帝王级? Wenn beispielsweise die Geheimhaltung, 数据的完整性和保全能力可能会受到威胁, 什麽资产属于你的组织会受到最严重的影响? Es ist unschwer zu erkennen, 之所以如此重要. Aber wie sieht es mit der Integrität aus? 如果一家公司…SOX) -Regelung unterliegt, 哪怕是财务报告数据出现的轻微的诚信问题,都可能造成巨大的代价. 或者某个机构提供在线音乐流媒体服务,并且有损提供音乐文件的可行性, könnte sie Abonnenten verlieren.
- Schwachstellenbestimmung: 请指出,系统和软件的哪项弱点是保密, 对资源的完整性和通行状况造成威胁? 例如,哪些组织的缺陷或缺陷可能会导致它们这样做, dass Daten gefährdet werden?
- Bedrohungsszenarien: 资产和数据受到威胁的可能原因是什么? 比如,该组织的数据中心就位于某个区域, 如此频繁地发生对环境的威胁,如龙卷风和洪水? 将成为一个犯罪集团的同党, 对黑客团体或政府支持的实体进行攻击攻击? Die Gefahrenmodellierung ist ein wichtiger Faktor, der den Kontext erweitert, 威胁存在明显的风险, 利用弱点产生风险的途径是什么, verknüpft werden.
- Maßnahmen festlegen: 你为了保护什麽已经做了什麽预防措施? 在管制系统中会很快发现失灵或威胁, 或通过全身矫正或降低可能性和/或后果, wenn das Risiko auftritt (Mitigation). Wenn Sie z. B. das Risiko erkannt haben, 离线用户仍然可以访问某一个应用程序, könnte eine Kontrolle ein Vorgang sein, 使用者会自动从这个应用程序中删除, sobald sie ausgeschieden sind. 替代控制系统是一个间接的安全网可以减少风险. 和上述例子类似,替换检查可以是四个季度的口令验证程序. 在进行这样的审查时,应用程序用户的列表将与用户名册和公司雇员名册进行核对, 进行独立的操作, die danach umgehend entfernt werden können.
Bewertung
In dieser Phase geht es darum, die von Ihnen erhobenen Daten über Assets, 将脆弱部分和脆弱部分连结起来,减少风险. Dafür gibt es viele Frameworks und Konzepte, 但你很可能会用以下方法校正他的方程式:
安全检查
注意,这是一个粗劣的比喻. 对所有人来说,计算风险绝非易事.
Bearbeitung
Nachdem ein Risiko bewertet und analysiert wurde, 机构必须决定采取何种措施:
- Problembehebung执行控制,不包括所有或几乎所有潜在风险.
Beispiel: Sie haben auf einem Server, auf dem zentrale Assets hinterlegt sind, 发现了其中的弱点并用补液治疗.
- Schadensbegrenzung风险承担后果的概率和/或负后果的降低, aber kein vollständiger Gefahrenausschluss.
Beispiel: 他们在一个服务器上发现了一个弱点. Aber anstatt die Schwachstelle zu beheben, führen Sie eine Firewall-Regel ein, die es nur bestimmten Systemen erlaubt, 和伺服器保持联系.
- Übertragung: Sie verlagern das Risiko auf eine andere Stelle, 这样你的组织就能支付风险承担的费用.
Beispiel: Sie schließen eine Versicherung ab, 包括一切因滥用易受伤害系统造成的损失. (注意:这将作为消除风险和减少风险的补充, kann diese aber nicht vollständig ersetzen).
- Risikobereitschaft: Das Risiko wird nicht bereinigt. Dies ist sinnvoll, 这种情况下,风险非常低,消除风险的成本要比成本高, die bei Eintritt des Risikos anfallen würden.
Beispiel: 他们发现一个服务器存在安全漏洞, sind aber zu dem Schluss gekommen, dass sich auf diesem Server keine sensiblen Daten befinden; er kann nicht als Einstiegspunkt für den Zugriff auf andere kritische Ressourcen verwendet werden, 同时有效利用保安漏洞是很复杂的. Infolgedessen entscheiden Sie, 你不必浪费时间和资源, um die Schwachstelle zu beheben.
- Risikoverhütung: 消除与已确认的风险有关的所有危险
Beispiel: Sie haben Server mit Betriebssystemen (OS), 即将结束的生命周期将结束,就不再需要操作系统设计者的依样性了. 服务器上记录和处理机密和非机密的数据. 保密资料会避免出现中断的风险, 你可以把密室的资料, patchbare Server. 服务器仍在运行中处理非机密数据. 制订了一个未经操作的办法,将不安全数据移至其他服务器.
Kommunikation
Unabhängig davon, wie an ein Risiko herangegangen wird, 联合国必须做出抉择. 利益相关者需要理解风险处理或不管理的成本及其理由. 必须有明确的责任和问责制,并分给公司的个人和团队. Dadurch wird sichergestellt, 在正确的时候让正确的人参与这个过程.
Wiederholungsschleife
Das ist ein laufender Prozess. Bei einem Aktionsplan, der die Durchführung einer Kontrolle erfordert, 您必须继续监测才行. 这个控制可能涉及到一个随时间变化而变化的系统. Geöffnete Ports, 篡改的密码会说出许多东西, 它们的监督系统在第一次实施的几个月或几年里都运转不畅.
Zuständigkeiten
国际信息社会案涉及很多参与者,他们各自有着不同的责任. 对过程平稳至关重要, 界定这一过程中不同的角色和相关的责任范围.
Prozesseigentümer: 在大型实体中,可能有一个金融管理小组或音频小组负责公司的风险管理计划, 有一个维持和平行动小组参与国际人道主义事务方案, das in das ERM-Programm einfließt. ism队伍必须当场赶到并且必须提供一个持续的进度.
Die Risikoverantwortlichen: 组织成员应对个人风险, 带着预算解决问题. 换句话说,风险管理人要负责, dass die Risiken entsprechend behandelt werden. Mit der Budgetabsegnung haben Sie das Risiko.
除了承担风险的人之外,还有其他的参与方式, 要么受这一行动计划的影响,要么参与行动计划的实施, z. B. 主系统管理员/技术员、系统用户等.
举个例子,你们的数据安全小组(进程所有人)正在研究m’s进程. Es wird ein Risiko, 如何处理你们公司的客户关系管理, festgestellt. 与信息技术主管(这是系统所有人)以及信息技术部门的人员共享, 这是每天管理系统的系统管理员。, 与所有处理器通话, damit das Risiko bewertet werden kann.
Unter der Annahme, 稍后在本公司推出的crm软件, 在微型dc中,如果crm软件数据丢失最终将影响分销, dann ist der Leiter Ihrer Vertriebsabteilung (d. h. 主席. 风险承担者必须决定如何执行各种行动计划, die vom Informationssicherheitsteam, den Systemadministratoren, den Systemeigentümern usw. vorgelegt werden. Er akzeptiert das Restrisiko; allerdings werden Ihr Systemeigentümer und Ihr Systemadministrator wahrscheinlich wieder beteiligt sein, wenn es um die Umsetzung des Aktionsplans geht. Die Systembenutzer – also die Vertriebsmitarbeiter, 每天使用crm软件的用户也参与了这一过程, 因为它们可能会受到行动计划的影响.
风险管理是永久性的工作风险管理是否成功将完全取决于此, wie gut die Risiken bewertet, 传授计划和履行任务. Wenn Sie die entscheidenden Personen, 描述了如何利用以上步骤的过程和技术, 为你的公司的风险管理战略和方案创造一个坚实的基础, 显然我们可以进一步发展.
Erfahren Sie mehr über Compliance