如何对公司网络安全进行评估
- 确定信息价值
大多数组织没有无限的信息风险管理预算,因此最好将您的范围限制在最关键的业务资产上。为了以后节省时间和金钱,请花一些时间来定义确定资产重要性的标准。大多数组织都包括资产价值、法律地位和业务重要性。一旦该标准正式纳入组织的信息风险管理政策,就可以使用它来将每项资产分类为关键、主要或次要资产。
- 确定资产并确定其优先级
确定要评估的资产并确定评估范围,能够确定要评估的资产的优先级。您可能不想对每个建筑物、员工、电子数据、商业机密、车辆和办公设备进行评估。并非所有资产都具有相同的价值。
您需要与业务用户和管理人员一起创建所有有价值资产的列表。对于每项资产,在适用的情况下收集软件、硬件、数据、界面、终端用户、支持个人、目的、危急程度、功能要求、信息技术安全政策、IT安全架构、网络拓扑结构、信息存储保护、信息流、技术安全控制、物理安全控制、环境安全信息。
- 识别网络威胁
网络威胁是指任何可被利用来破坏安全以造成伤害或从您的组织窃取数据的漏洞。在确定组织面临的威胁后,您需要评估它们的影响。
- 识别漏洞
漏洞是威胁可以利用来破坏安全、损害您的组织或窃取敏感数据的弱点。通过漏洞分析、审计报告、美国国家标准与技术研究院(NIST)漏洞数据库、供应商数据、事件响应团队和软件安全分析发现漏洞。
- 分析控制并实施新控制
分析现有的控制措施,以最大限度地减少或消除威胁或漏洞的可能性。控制可以通过技术手段实现,例如硬件或软件、加密、入侵检测机制、双因素身份验证、自动更新、持续数据泄漏检测,或通过非技术手段,例如安全策略和物理机制,例如锁或钥匙卡访问。
控制应分类为预防性或检测性控制。预防性控制尝试阻止加密、防病毒或持续安全监控等攻击,检测性控制尝试发现攻击何时发生,如持续数据暴露检测。
- 每年计算各种情景的可能性和影响
了解了信息价值、威胁、漏洞和控制措施,下一步是确定这些网络风险发生的可能性以及发生时的影响。
- 根据预防成本与信息价值对风险进行优先排序
以风险级别为基础,确定高级管理人员或其他负责人采取的措施以减轻风险。
另外,请考虑组织政策、名誉受损、可行性、法规、控制的有效性、安全、可靠性、组织对风险的态度、对风险因素不确定性的容忍度、风险因素的组织权重等相关因素。
- 记录风险评估报告的结果
制定风险评估报告,以支持管理层就预算、政策和程序做出决策。对于每个威胁,报告应描述风险、漏洞和价值。以及发生的影响和可能性以及控制建议。
完成此过程时,将更了解公司运营哪些基础架构、最有价值的数据是什么,以及如何更好地运营和保护业务。然后,可以创建风险评估策略,定义组织必须定期执行哪些操作来监控其安全状况、如何解决和减轻风险,以及如何执行下一个风险评估过程。