网络安全治理是控制和指导组织的网络安全方法的方式。如果做得好,它将有效地协调组织的活动,如果做得不好,它将导致网络安全风险决策的制定不佳和延迟。良好的网络安全治理可以使网络安全信息和决策在整个组织内流动。
正如安全是组织内每个人的责任一样,安全决策也可以发生在各个级别。为实现这一目标,组织的高级领导层应使用安全治理来列出他们准备让员工承担和不准备承担的安全风险类型。
不存在适用于每个组织的“一刀切”的治理方法。组织应建立对自己最合适的安全风险管理角色和决策流程(请记住,某些组织可能一定要遵守强制性要求)。
无论任何预定的结构或流程如何,在以下情况下更有可能采用良好的方法来治理整个组织的风险管理:
您应该考虑您的组织面临的问题并决定适合您的方法。这很重要,因为采用治理流程本身并不能够实现良好的安全性。安全治理行为不应脱离良好安全的日常运维。
例如,高级领导层仅仅声明“安全风险不可接受”是不够的。这样做将迫使低于此领导级别的人员仅根据自己知识和经验来承担风险,而不最大限度地考虑组织的优先事项。
管理技术系统风险的管理方式应该与组织管理别的业务活动的方式没什么不同。治理一词意味着组织主动对其面临的风险来控制,并为其业务安全提供指导。有效的安全治理要求组织投资于风险管理资源并信任决策者,以便拥有合适的人员、结构和风险管理流程。这使得明智的风险管理决策可以在一定程度上完成组织的业务目标和目标。
有效的网络安全风险管理建立在明智的决策之上。然而,虽然组织内的高级管理层(例如董事会)仍然对网络安全风险管理负责,但他们不一定需要做出所有风险管理决策。风险管理决策可以在组织的各个级别制定,并能委托给最了解问题的人员。决策者应拥有正确的安全、业务和技术知识(以及技能和经验),使他们可以在不同的业务环境中做出及时有效的风险管理决策。
为了使安全风险管理有效,重要的是在负责组织安全的人员和有权代表他们做出风险管理决策的人员之间建立清晰的沟通渠道。授权决策权时,授权范围必须明确。也就是说,他们应该了解何时要升级决策以获得企业内部更高层的关注。
用于提供现代业务功能的技术系统能被视为复杂的“社会技术”系统,技术、人员和业务流程之间有交互。这种复杂性意味着有时能了解并管理安全风险的原因和影响,有时则不能。
风险管理中的不确定性是不可避免的,因为决策者和从业者为安全决策提供信息所需的信息可能没办法获得、未知或主观得出。这种不确定性因以下因素而加剧:
这种复杂性和不确定性并不代表组织无法采取任何措施来管理安全风险。相反,负责决策的人需要:
有效的安全文化和环境还将帮助组织应对与我们今天使用和依赖的系统和服务相关的不可避免的复杂性和不确定性。能够最终靠以下方式鼓励适当的安全文化和环境:
确保参与安全风险管理决策的任何一个人都了解实现目标和维护业务优先级比遵守通用的预定清单更重要
雇用具有网络安全、业务和风险管理技能以及提供信息、制定和实现有效决策所需的知识和专业相关知识的人员
原则,将风险管理纳入正常业务以及设计和开发生命周期中,因此它被视为一项与其他风险管理方式一致的持续活动(而不是一次性行动)
接受技术和安全风险将会发生的事实,并了解组织将采取哪些措施来最大限度地减少损害、继续运营并根据吸取的经验教训进行改进
确保负责安全的人员、负责制定风险管理决策的人员以及负责开展风险管理活动的人员之间的沟通清晰且有意义,以便可以依据信息正确有效地采取行动
风险管理信息的有效沟通有助于组织指导和控制风险管理活动。为了使这种沟通有效,组织必须建立内部和外部渠道来与员工、业务合作伙伴和客户做沟通。当组织内部的沟通在组织的正确层级之间进行时,沟通是最有效的:自上而下、自下而上和横向:
为了以清晰且有意义的方式传达风险管理信息,组织应使用简单的英语和众所周知的业务、技术和安全术语。应避开使用定制的风险管理语言或专业术语。
人们通常认为,由于组织使用通用的风险评估(或风险管理)方法,因此他们将可使用生成的风险信息(例如顺序风险或影响级别或标签)作为速记方式将信息传达给风险管理决策者和业务合作伙伴。如果没有就风险管理信息的含义达成一致,这个假设是不正确的。人们和组织会根据自己和群体的偏见、经验、知识和优先事项来解释或误解风险相关信息。如果提供的风险管理信息没有含义、解释或上下文,则尤其如此。
与任何其他关系一样,各方之间的信任建立在良好的沟通基础上,使各方能够理解他人的价值,并就风险管理信息和风险评估输出的具体含义达成一致。这种理解将使组织能够信任其他人向他们提供的风险管理信息,并充满信心地使用技术系统和服务。
