34、信息安全风险管理框架：从传统到过程导向的转变

信息安全风险管理框架：从传统到过程导向的转变

1. 风险管理框架的基础概念

在信息安全领域，风险管理框架的构建至关重要。它涉及到明确组织当前的状态以及期望达到的目标，同时还包括确定关键成功因素、关键目标指标和关键绩效指标。关键成功因素定义了实现对 IT 流程控制的重要管理实施准则；关键目标指标用于衡量 IT 流程是否满足业务需求；关键绩效指标则衡量 IT 流程在实现目标方面的表现。

2. 风险管理框架的发展阶段

2.1 第一阶段：深度防御理念的拓展

传统的安全举措多以深度防御为哲学基础，信息安全工作至今也大多遵循这一理念。然而，目前它主要通过多层技术解决方案来实施，应用范围较为有限。NIST 指南在此基础上增加了社会技术视角，考虑了人类行为相关问题，但仍存在局限性。

借鉴安全科学中的 Reason 框架，我们可以识别出网络风险管理的四个防御层次：
- 技术风险管理层：这是当前标准和框架中常用的机制，但主要针对外部威胁和攻击。
- 流程风险管理层：技术通常在组织的运营流程中实施，因此理解和管理流程风险至关重要。
- 人员风险管理层：近期研究表明，内部威胁不容忽视，包括恶意人员和无意犯错的人员，当前的应对措施主要集中在人员和行为问题上。
- 财务风险管理层：网络安全成本可能过高，且需要更好地理解安全投资组合，以避免投资失衡带来的风险。

这四个层次构成了管理层面的深度防御，应成为任何风险管理框架的基础。

2.2 第二阶段：系统理论视角下的安全管理系统

由于组织是与复杂的运营、技术和监管环境相互作用的开放系统，我们采用系统理论方法定义了一