简单有效地沟通信息安全风险，第1部分

在组织中，澳门赌场官方下载风险的话题 管理提出了一个双重问题 计算风险水平和有效性 与最高管理层的沟通. An accurate 如果不这样做，风险评估就失去了所有的有效性 被管理人员正确理解 决策权. 为有效 沟通，要准确 代表情况，连接业务 流程是高层管理者所熟知的 最严重的威胁. 知道如何描述 最高管理层面临的信息安全风险 有效是帮助决策和 确保组织是安全的. 一旦风险是 通过沟通，可以进一步提出缓解建议 检查、详述和讨论的，如在 “简单地传达信息安全风险 有效地，第2部分.”¹

风险因素的选择

在与高层管理人员交谈时，这很常见 简化概念，使上下文 对于那些可能缺乏具体内容的人来说是可以理解的 技术知识. 这是必须保留的 沟通渠道开放，即使冒着风险 遗漏重要信息的 强调其他信息的重要性. 这里的问题是“信息是什么? 重要，对谁重要??“这些问题一定是 考虑提高沟通和实现 澳门赌场官方下载目标.

与高层管理人员会面的目的 应该永远是为了展示自己的技能还是为了 表达自己对新技术的支持; 目的应该是引起人们对具体问题的注意 可能影响澳门赌场官方下载目标和 需要仔细的风险-收益评估. A change 在一个人的沟通方式上可以方便 对相关主题的理解. Instead of 呈现详细的、技术性的、专业化的 视图，考虑一个更简单、更通用的表示 这突出了与……的联系和后果 业务目标.

准确的风险 评估失去了所有 如果没有效果 正确理解 管理主管 与决策 POWER.

演讲通常是由演讲者如何引导的 看到正在讨论的问题. 它们通常是 由该主题的专家撰写，包括许多 关于设计方面的技术细节 工作开展. 然而，通常这些细节 是否已经在项目文件中运行 说明或活动报告. 如果细节 掩盖了整体的愿景，它可能看起来像一个 重复的努力，只是风格的改变.

相反，重点应该放在……的好处上 采用一种特定的技术或工作类型 以及这样做的风险. 一个好的高级演示不会立即提供 解决方案的详细信息(稍后可能不会这样做，如果 it is not required); it compares, through a gap 分析利弊，为澳门赌场官方下载自身着想. 怎么做比结果更重要. 因此，最好从上下文中入手 潜在的威胁到达了预期 后果，很少关注路径 采取(黑盒概念).

风险数据来源

起点，是绘制信息的地方 要在展示中发展，就是风险 register.² 它包含所有的场景，分析和 评估和所有已经做出的决定 如何实现澳门赌场官方下载目标和处理 risk. 虽然风险登记是一个理想的来源 信息，太详细了，不能呈现给高层 全面管理. 因此，总结可以 以气泡图的形式呈现³ 这显示了风险 所有澳门赌场官方下载过程的级别，通过评估 能力成熟度模型(CMM).⁴

在演讲的第一阶段， 应该确定临界状态，但是 不应该有任何企图 人们了解风险有多大 HANDLED.

成熟度模型是两者之间的中间步骤 风险登记簿和汇总表，这是有用的 双重目的. 成熟度模型很方便 聚集风险，并引入一个坚实的纽带之间 风险和控制，这些过程是否已经 实施或仅计划. 它还介绍了 漏洞评估. 脆弱性是一个度量标准 这就衡量了控制的弱点 可能的后果.

摘要气泡图应该表示 比由风险引起的更广泛的情景 评估完全基于影响和 概率值. 风险登记和CMM 用额外的信息建立一个高价值的纽带 与脆弱性和等级相关联 反应能力(风险处理计划的现状). 然而，即使它信息丰富，它仍然是一个 对风险严重性进行优先排序的高级摘要 the enterprise as a whole; it does not describe the solution. 风险汇总表使我们能够 分析一般的风险背景，防范清晰 理解做出选择的原因或 计划的风险处理. 注意力集中在 评估最相关的问题(风险事件) 必须与业务目标相关 (全球视野)，而不是在寻找一个实际的 要采用的解决方案(操作上下文).

阐明拥有必要条件的重要性 可用于分析现象的信息; 想想一个日常风险:丢了房子钥匙. 给定目标(总是能够找到) 钥匙)和同样质量的保护(钥匙 在需要时可用)，假设有三个 与购买钥匙链相关的选项:

1. 配备全球定位系统(GPS)技术
2. 一个带相框的
3. 带发光二极管(LED)手电筒的人

在风险登记方面，有三种解决方案 相等是因为它们都符合目标. The 房主可能会感受到更大的好处 选择之一，但前提是他们知道一切 三个选项.

细微差别和细节不能添加到合成中 而不影响聚合的目的 以及理解风险结果的能力 highlighted. 预期这种风险是合理的 登记清楚地识别最重要的风险 因素，至少按过程和实体分解. 访问风险的操作细节 对所有关键风险因素的管理是不同的 需要方法，并提供附加信息 关注感兴趣的方面. 在第一层 在演示文稿中，应该确定临界状态，但是 不应该试图让人 了解如何处理风险. 演讲 应该始终遵循自顶向下的方法，从一个 对整个场景进行了详细的透视 实现选择的解释.

风险评估通常是一个自下而上的过程. 首先，风险经理参与起草风险 报告，运用他们所有的知识和专业知识 有效管理风险. 然后是风险管理者 必须能够总结解决方案和他们的 关键问题使用非专业语言 给出与每个选择相关的标准. 其目的是通过提供允许的具体要素，使最高管理层参与决策 让他们做出明智的决定 对澳门赌场官方下载的影响.

按流程划分的风险情景

风险登记册使用气泡图来表示 整个澳门赌场官方下载风险因素图，以及 流程管理人员使用它来选择所需的因素 对他们自己的过程构成最大的风险， 想必，会要求最繁重 行动，因此，高层的参与 管理在决策过程中. To 确保高层管理人员理解 遏制这些威胁所需的措施 定性的风险、影响、概率和 成熟和综合补救方案必须是一致的 转化成一个包含原因的场景， 行动和后果.

一旦选定了相关的风险因素， 必须强调威胁的严重性 相对于强度的后果为 澳门赌场官方下载在上下文中更关注的是 操作过程比可以从 风险登记册的气泡图. 操作 上下文是整个过程的表示 图解地强调了操作 场景，包括 与其他流程、人员的接口 涉及到的，涉及到的业务资产和所有的 正在进行的活动.

为了有效地进行，有必要选择一个 参考环境上下文化所有 注意事项. 这里，澳门赌场官方下载信息 安全进程是用来描述如何呈现的 数据水平高，沟通有效 在操作环境下的风险叙述. 信息安全是一个技术性很强的问题 对大多数人有重大影响的过程 业务流程，对所使用的资产和 人力资源和其他资源. In 就复杂性和完整性而言，信息 安全是一个很好的参考环境 创建有效的演示文稿.

强调威胁的严重性和 后果

在实践层面上，在IT系统中采用了 风险管理，对于每一个被管理的过程，风险 所有者可以使用模板 (figure 1) 要选择 风险因素要引起高层的注意 management. 模板，自动馈送 对该过程的威胁进行风险登记 插入高层次的音符，以更好地集中注意力 在关键问题上.

信息安全管理的威胁是从业务角度而不是从技术角度根据相关风险的主要原因的性质进行分类的. 根据组织和操作的角度，确定了六个重大威胁区域. 每个区域表示澳门赌场官方下载潜在风险原因的某些类别和相关后果的严重程度(在缺乏风险管理的情况下). In figure 1, 三种不同的颜色代表三个大的区域——个体, non-ICT流程, 和ICT流程——就威胁来源类型而言，被确定为同质的, 执行执法活动的环境，以及可能受影响的对象类型.

Individuals
在这个范围内，主要的参与者是个人. 在这种情况下，它们被认为是测量风险水平的直接或间接原因. 此范围内的威胁区域包括:

• 内部(内部)—从澳门赌场官方下载内部实施的故意攻击. 减轻这种类型的威胁需要技术手段，如果它采取有针对性地使用it工具的形式, 如果涉及欺诈性使用资源，则采用法律手段, 组织手段，如果它利用程序上的差距;培训手段，如果它需要有关人员的合作. 这是最阴险的一种威胁，因为它可以破坏工作人员之间的信任，并使所有其他措施无效.
• Usage-因不正确或疏忽使用指定的ICT资产而造成的损害. 这种威胁可以通过针对用户群体的定期培训以及系统和具体的检查来解决.g., 使用最小特权策略, 从列表中选择一个选项，而不是写下来, 定期检查授权和使用需求, 评估屡次违规的处罚, 以及学习水平的形成与验证).

Non-ICT流程
在这个范围内, 外部风险事件的后果主要影响非ict业务流程，对业务目标具有重要意义. The
此范围内的威胁区域包括:

• 在(外部)-从澳门赌场官方下载外部发起的蓄意攻击, 一个不知情的帮手或副作用. 其后果可能影响攻击中涉及的所有进程、所有者或资源用户. 应对威胁需要有效的预防性控制活动，例如脆弱性评估或渗透测试. 对受影响过程的审计保证了这些评估的正确性. 其后果可能超出潜在物理损害的货币成本, 如对澳门赌场官方下载声誉的损害. 在涉及个人资料的资料外泄个案中, there may be legal repercussions; in the case of loss of technology data, 整个澳门赌场官方下载都可能面临风险.
• Event-不可预测的外部事件，不能归因于特定的攻击, 比如极端天气事件, fire, 流行病或停电. 其后果主要与业务连续性有关, 但IT资源也可能受到损害, 既直接受到事件的影响，又间接受到连锁反应的影响. 该解决方案需要一个适用于整个澳门赌场官方下载的实际业务连续性管理系统(BCMS),⁵ 重点是根据风险分析减轻对IT系统的影响.

ICT Process
在这个范围内, 风险的来源和后果的接受者都是信息和通信技术过程的内部因素. 原因与执行内部执行的IT活动的方法有关. 此范围内的威胁区域包括:

• Design-由于安全控制设计不正确 对要求不充分，可靠性不高 评估，程序不完整或 数据分类不足. 一般来说，这些 类型的威胁会影响IT服务，即使 事件起源于外部. 例如，如果 停电了，连续性系统 可能导致服务器室无法启动，原因如下 以前未检测到的缺陷. The 如果影响到，后果可能会很严重 关键业务流程，客户或 供应商，还是澳门赌场官方下载形象. 资讯科技服务是 参与所有的业务流程，使之成功 重要的是要纠正设计上的问题 妥协公司使命本身. The 解决方案是控制的应用 方法最适合具体 业务类型.
• Change-配置中的疏忽或 系统的维护，或者，一般来说，在任何 改变硬件系统，软件 应用程序、网络配置或内部 ICT的过程. 一般的后果 涉及中引入的潜在漏洞 受变更影响的资产. Management 这样的威胁需要严格遵守 信息安全标准和最佳 实践，对所有操作人员进行充分的培训，以及 实行有效控制，兼而有之 自动和手动.

QUALITATIVE 表示创建 心理上的关联 在威胁和 后果.

任何IT安全风险事件都可以归结为以下原因之一 六个威胁区域. 尽管这些威胁区域有 没有反映出专业化的信息安全风险 问题，他们的优点是允许更多 面向组织愿景 其他过程的后果，人类风险 因素和执行任务的能力 分析过程. 预定义的添加 解释和使用颜色和标签 区分区域可以帮助非技术人员 观察员了解的操作方案 过程和对澳门赌场官方下载的影响.

为决策提供细节

在下一阶段，目标是协助管理 以及决策中的相关利益相关者.⁶ 当关键过程和严重的风险因素 已经确定，是时候提供一个 细节的层次更有操作性，但仍然 可以理解的人不是过程 specialists.

风险抽象表示的目的是创建一个整体视图, 将业务操作领域与每个选定风险对整个澳门赌场官方下载造成的后果类型联系起来. 这导致在补救计划中丢失了一些细节, 但这可以在组织深度的新层次上得到弥补. 现在的重点是风险因素的综合水平, 规则的应用和组织范围. 

这种风险的特殊表示的一个例子显示在 figure 2. 这个例子很简单, 没有数字(除了风险水平), 0–5), 它有利于对威胁(无论是观察到的还是潜在的)和预期哪些目标将受到损害之间的因果关系进行反思. 定性表征创造了威胁和后果之间的心理关联. 它不提供解决方案的路径, 但有助于理解威胁的真正严重性. 如果需要进一步调查, 为控制风险而提出的保护措施应在另一份招股说明书中详细说明.

对威胁和风险等级的描述如下 从风险登记册中提取. In figure 2, labels 总结威胁，并指出风险 水平定位在网格上. Each label 描述引入风险因素的事件 简单地说，还有后果. 的示意图 叙述是一种帮助人们理解的简单方式 威胁的分量.

威胁区域的颜色告诉观察者 功能环境所在的威胁 实现. 功能环境是 在标签中隐式引用，并在 讲义上的一般方法，但很明显 熟悉的人都能认出来 enterprise. 因此，它识别流程 涉及到的，需要对员工进行培训或其他 干预措施、受影响的IT资产类型 需要组织审查，或者机会 改善沟通. 文本框(待办事项列表) 展示为每个领域设想的行动. Some 行动可能会影响几个区域，但它是 在大多数中只包含一次是合适的 相关区.

其他信息可以添加到可视化中 代表，但这可能会减少它的整体 清晰，所以要考虑是否做 这是值得的. 相同事物的不同阴影 颜色也可以用在六边形上进行高亮 不同程度的风险. 六边形的使用则不然 essential; a circle or another shape will work, too. 同样重要的是不要用 漂亮的图片.

Conclusion

这种对威胁的看法，更侧重于 而不是专门的流程， 促进对交互的高层次理解 与其他业务流程和帮助集中 而是对组织的影响 而不是技术细节. 随后的调查 也有必要充分了解 从现象的角度 组织而不是技术组织，如 在“通信信息安全”中讨论过 简单而有效的风险，第2部分.”

Endnotes

¹ ISACA^® 简单有效地沟通资讯保安风险第2部分 ISACA^® Journal，第6卷，2021年 http://5wb7.baileherculane.net/archives
² ISACA, CRISC评审手册，6^th Edition, USA, 2015, http://5wb7.baileherculane.net/resources
³ Sbriz, L.; “Enterprise Risk Monitoring Methodology, Part 4,” ISACA杂志, vol. 3, 2020, http://5wb7.baileherculane.net/archives
⁴ CMMI研究所 http://cmmiinstitute.com/
⁵ 国际标准化组织(ISO)， ISO 22301安全性和弹性-业务连续性管理系统-要求 2019年,瑞士 http://www.iso.org/obp/ui#iso:std:iso:22301:ed-2:v1:en
⁶ Op cit ISACA, 2015

Luigi Sbriz, CISM, CRISC, CDPSE, ISO/IEC 27001 LA, ITIL v4, UNI 11697:2017 DPO

曾在一家跨国汽车公司担任风险监控经理 公司成立七年多. 此前，他负责 信息和通信业务和资源在亚洲和 太平洋国家(APAC)地区(中国、日本和马来西亚) 担任全球信息安全官七年多. He 开发了一种原创的内部风险监控方法，并将其与 操作风险分析和随后的风险评估由 控制的成熟度级别. 他还设计了一个网络监控工具 一个集成的系统，包括风险监控、成熟度建模和 内部审计. Sbriz是商业智能系统的顾问 几年来. 你可以通过LinkedIn (http://it.linkedin.com/in/luigisbriz) or at http://sbriz.tel.