▌風險識別

信息科技風險識別是指對企業具有脆弱性、可能受到威脅侵害、需要保護的信息技術、資源或資產進行識別和分類，并對相關的威脅和脆弱性進行確認的過程。信息科技風險具有一定的可變性，風險識別是一項持續性和系統性的工作，各級相關部門應密切注意原有風險的變化，并隨時發現新的風險。

一般性的風險識別方法可以包含如下幾個方面：威脅建模、風險庫維護、有償探測、頭腦風暴等。

威脅建模是一種較高級別的風險識別與分析方法，是基于業務場景、信息資產的敏感度、信息技術的可靠性等要素進行分析，進而判定可能的風險的來源、威脅對象、觸發條件、影響程度，一般要通過鎖定一定的信息資產的范圍，梳理信息資產提供的IT服務屬性和業務邏輯，開展必要的建模工作，再加上安全專家的經驗，就可以識別出各個關鍵資產所面臨的可能性威脅和存在的各種漏洞了。

風險庫維護是一種比較常見的識別方法，也就是通過日積月累的收集和標記各種場景下發生的信息科技風險，來識別風險來源、觸發條件、威脅對象、脆弱點、影響程度等信息，并同時可以借鑒之前的有效經驗，進行應急防控措施和預案的部署。現在很多企業都建立了自身風險庫，利用各種互聯網資源，例如社群、論壇等工具，實時跟進類似企業的風險發生場景，并基于內部已有的風險發生場景，主動開展風險的定期的維護和識別管理。

有償探測是一種風險管理外包活動，也就是聘用專業化的機構和風險管理專家，利用他們的經驗庫進行自身信息資產的防護工作，由他們基于專業性的工具、技術和資源，從外部或者定期授權到內部進行風險診斷和探測工作。

頭腦風暴方法是基于各種專業化人員對于自身工作和信息資產的熟悉情況，加上信息安全專家對于風險管理知識的介紹，大家開展的信息科技風險識別方法，該方法的好處就是通過專家自身的經驗進行威脅和脆弱點識別，相對高效和準確。缺點在于對于風險分析系統性和完整新是無法保障。

▌安全策略部署

基于風險管理的范圍和目標，一般都會開展風險管理策略的部署，安全策略一般分為預防性策略和應急性策略。

預防性策略是針對所關注領域的風險進行主動性的安全漏洞探測和監控，降低風險發生的可能性及其造成的影響。一般的預防行策略是在風險識別時就建立相關的風險指標和風險屬性定義，以便于風險評估時進行風險發生可性能的評估。

應急性策略是針對預防性策略檢測出的可能性以及嚴重程度都較高的風險，甚至是已經造成嚴重后果影響的風險，采取的應急處置措施。一般的應急性策略是要在風險識別時就建立風險閾值和應急預案。 

安全策略的部署要同時考慮到風險防控成本與風險管理目標之間的平衡性，說的直接一些就是檢測風險和處置風險的代價，一般安全策略部署包含了安全監控設施、安全處置場地、漏洞檢測工具、安全專家、運營管理費用等等成本分類，而且安全運營也是長期持久性的投入，所以來說這些投入對于風險管理的目標而言值不值當呢？一般性的公司的安全策略部署原則應該從經濟性、科學性、創新性以及安全性幾個角度綜合考量。

▌風險評估

信息科技風險評估，是根據已識別的信息科技風險，包括識別的信息技術的脆弱點、受影響的信息資產、組織、資源等，對信息科技風險可能導致對企業的業務和聲譽影響進行評估。風險評估范圍包含整體信息科技風險檢查評估、信息資產安全性風險檢查評估、專項信息科技風險檢查評估。風險評估的方法一般包含如下幾類：

1   ▏自我評估

企業應定期通過風險評估和審計等方式對風險的發展與變化情況進行持續監測，并根據需要對風險應對策略進行調整。每年應至少開展一次整體信息科技風險檢查評估或者審計，至少組織一次信息資產風險檢查評估或者審計；并適時開展專項信息科技風險檢查評估。大型的集團性單位，應要求各級法人單位每季度至少開展一次I類自評估，每年至少開展一次II類自評估。針對集團大集中式的信息資產每年應至少開展一次III類自評估。

自我評估的工具一般也是包含了基于SOC（安全運營中心）的實質性監測式評估診斷活動，或者基于風險管理制度的合規性經驗型評估診斷活動。

2   ▏第三方評估

信息科技風險管理部每年應至少開展一次信息科技風險第三方評估。由第三方在企業授權的范圍內，并使用經過確認的評估方法開展相應的評估工作，評估機構應本著客觀、公正、真實和自主的原則，開展評估活動，并嚴格保守在評估過程中獲悉的商業機密。針對第三方的評估工作，企業和評估機構之間應在評估過程中建立信息保密工作機制。

▌風險處置

當預防性監測發現了異常，就可以基于有效預防性分析指標和控制基準客觀的反應威脅發生的可能性以及嚴重程度，便于安全運營人員及時采取措施進行風險防范與處置，進而實現大范圍的信息科技服務組件的安全運營。這些預防性的措施是要基于風險發生的可能性、可能發生位置、可能發生的場景進行主動型的深層關注和分析活動，例如：有的是針對信息系統開發環節的代碼漏洞檢測，有的是基于網絡非法入侵的主動性偵測，還有的是針對外包人員的日常行為規范進行約束等等。

一旦通過監控和測試措施檢測閾值已經觸及，就要啟動風險計劃和應急預案。這些應急預案要面向風險發生時勢態的嚴重性，采取響應的規避、減弱和接受措施。例如：當業務連續性風險發生時要啟動業務連續性計劃，建立應急指揮中心，并啟動應急環境進行應急業務保障；當偵測到軟件存在后門時，要采取必要的網絡隔離、代碼修補和反偵測工作等等；當網絡遭受非法入侵，也要進行必要的入侵路徑探測和非法行為攔截等等工作。

▌風險報告

風險報告也是企業科技風險管理過程中不容忽視的一個環節，風險報告指信息科技部門、風險管理部門和審計部門依據特定的格式和程序對信息科技風險狀況進行描述、分析和評價，并形成的信息科技風險報告，相關部門按照規定的報告路線進行匯報。報告的內容應完整、客觀、清晰。

風險管理報告應該作為企業信息服務運行報告的一部分進行呈現，它是反映企業風險管理活動推進過程和推進成效的直接體現，報告應分時間周期和風險類型進行多種呈現，最終反映于企業各級風險管理目標的實現能力。

想了解更多IT資訊，請訪問中培偉業官網：中培偉業