/    

浅谈“跨多区域业务”企业网络安全风险管理实践

前言

停更近一年,主要是换了赛道进行发展,回想起一个人的“安全部”的经历,很多经验的积累过程还历历在目。本次分享的话题是“跨多区域业务企业网络安全风险管理实践”,也是在那段特殊经历主要工作内容之一,做个总结,与众共勉。

0x01. 风险管理的挑战

公司作为传统保险公司,业务为境外保险业务,涉及不同国家、地区的网络安全合规要求,为金融科技应用在业务服务,开展风险管理活动,带来了多样性、复杂性的特点。

** 多样性方面,** 不同国家、地区,对于网络安全监管形式表现不一,比如新加坡金融管理局,对保险机构提出了详细的科技风险管理要求,网络安全作为其中的一部分,每年要求提供相应材料上报;香港保监局则相对宽松,自成立以来,发布了《网络安全指引》,除了举办相关网络安全介绍会外,尚未开展实质性工作推动和检查;澳门同内地相近,颁布了《网络安全法》,实行类似内地等级保护的模式,金融管理局通过高频的举措,推动企业落实等级保护的要求。

** 复杂性方面,** 不同国家、地区,对网络安全划分的管理领域,细则要求不尽相同,比如,香港保监局的《网络安全指引》主要从网络安全政策、人员培训测试、系统安全测试等方面提出了实践要求,并未给出具体的细则要求;并且,《网络安全指引》并非法律性文件,未对企业约定违反相关要求作出惩罚性要求。相比澳门,颁布了《网络安全法》,作为法律按要求,明确了实行等级保护要求,且提出了违反该项法律带来的惩罚措施,其惩罚力度,超过了内地《网络安全法》的力度,但是等级保护内容的相关要求,相对内地等级保护要求,较为宽松且部分内容较为细致。因此,风险管理活动如何从成本效益、落地实践考量出发,并处理好不同国家、地区监管活动带来的多样性和复杂性的特点,具有一定的挑战性。

0x02. 对风险管理的思考

前文提到,笔者在公司开展风险管理活动需要考量的要素有成本效益、落地实践及满足多样性和复杂性的合规要求。在成本效益方面, 笔者认为是企业开展风险管理活动必须考量的要素。毕竟,实施风险管理控制的成本超过了潜在风险损失,风险管理控制实施的必要性,就需要审慎评估。落地实践方面, 风险管理活动一般分为风险识别、风险评估、风险处置、风险监测等实施步骤,呈现出环节多,知识储备要求高,涉及内部组织广的特点,如何推动有效落地,亦成为笔者一项不小的挑战。最后,满足多样性和复杂性的合规要求方面, 如何化解不同国家、地区带来的不同监管力度、监管方式和范围带来的差异性,有效平衡成本效益,将是衡量风险管理活动开展成功与否的重要因素。

经过对上述内容的思考,笔者依次从处理多样性和复杂性、成本效益、落地实践出发考虑,从以下方面规划风险评估活动的规划:

** 1.** 紧靠业务,保障核心业务合规。 由于业务涉及多个国家、地区,笔者分析了公司业务量贡献大的区域,依次排序,优先将该区域的合规要求作为风险评估活动开展的重要依据,其他次之,为设计满足成本效益的风险评估活动奠定基础,同时解决多样性和复杂性的问题。

** 2.** 突出重点,覆盖核心、高风险系统。 公司大大小小业务系统好几十个,若完全照搬合规要求完全落实,一是个别系统价值低,风险小,二是资源浪费,往往存在控制风险成本高于系统本身创造价值的情况。因此,从核心与否、是否具有高风险属性两个维度,将业务系统进行优先级排序,确保核心的、高风险的系统必须满足风险控制要求,非核心的、低风险的系统满足必须的风险控制要求,进而降低在风险评估活动投入的成本。

** 3.** 工具思维,简化风险评估活动。 风险评估活动开展有自评估、外部评估等形式,过程可综合运用现场访谈、资料审阅、现场检查、技术测试等方式。笔者主要考虑的问题在于如何简化评估活动?分析下来,除技术测试外,前面三种方式发起的基础为风险评估矩阵。结合过往调查问卷设计尽量选择题的思维,将风险评估矩阵进一步细化成选择题的方式,形成一个选择工具表格,尽量让被评估对象做选择题,简化评估过程,并聚焦每个风险领域突出的风险,最终确保风险评估活动的落地性。

0x03. 风险管理的执行

通过前面的思考,明确了如何解决风险管理活动的挑战,接下来,就是开展具体执行的内容:

** 1.** 建立风险评估矩阵。 将各地网络安全法律法规、政府规章进行整合,划分控制领域,做好与合规条款的映射关系,形成风险评估矩阵。这里着重介绍两点,一是划分控制领域这块,主要借鉴了ISO27001和国内等级保护,但又有所区别,在于前述标准和实践,划分的比较细,安全策略、安全组织都是单独一个控制域,但对公司而言,安全策略、安全组织等内容,评估过程不会涉及相关部门,即使存在风险,也是一次性风险,专门独立成一个控制域,从后面风险管理运营来讲,意义不大,因此统一归为通用要求,其他频发、易发问题的控制域,则尽量拆分比较细。二是映射关系必须做好,每一项控制点,都需要映射好合规要求,一方面是应对评估对象管控要求的依据和监管单位的疑问解答,另外一方面是后续风险分析可以综合判断风险的大小。

** 2.** 开展风险评估。 这部分选取了外部评估的形式,主要有两点考虑,一是人力资源不足,二是公司首次开展网络安全风险评估,评估对象对这项活动需要更多的了解,才能更好的配合。评估过程就与国标风险评估的标准过程就差异性不大,安排关键人员访谈、资料审阅、现场检查、技术测试等。

** 3.** 风险评估报告。 这是整个风险评估活动最重要的部分,毕竟,风险评估活动的成功与否,最终是通过报告呈现给管理层,管理层认可,可以获取更多的资源投入。这里着重介绍几点体会,一是报告的结构。 既然是为发现风险,化解风险开展的活动,那么报告首先肯定要体现项目发现风险的情况,从总到分依次快速介绍,很多评估公司的报告模板就是一开始背景一大段,依据一大段,评估方法一大段,整份报告一开始好几页都在讲管理层不关心,所以这些都调整为附录性介绍,报上上来就直接呈现项目价值,告诉管理层,这就是我们所面临的风险。二是风险问题的描述要准确到位。 这里的一个基本原则是问题描述的边界、定义要清晰,让管理层更加容易的理解问题影响的范围和严重性,有助于管理层提升对问题的认可和风险的把握判断,对于执行项目的你来讲,也更容易得到认可和获得资源。三是风险处置措施必须紧跟风险问题。 有个经验,有个风险问题提了很久一直获取不到资源解决,通过风险问题揭示之后,管理层看了处置措施,当场指派了人员会后开展整改。个人理解是风险处置措施主要的资源为人力资源和资金资源,人力资源方面建议着重描述相关方需要做啥,怎么做,做到什么程度;资金资源方面建议先预估一个资金投入范围,这样,管理层亦有个预估处置风险或接受风险。

from:www.freebuf.com