CHISAKA

前言

停更近一年，主要是换了赛道进行发展，回想起一个人的“安全部”的经历，很多经验的积累过程还历历在目。本次分享的话题是“跨多区域业务企业网络安全风险管理实践”，也是在那段特殊经历主要工作内容之一，做个总结，与众共勉。

0x01. 风险管理的挑战

公司作为传统保险公司，业务为境外保险业务，涉及不同国家、地区的网络安全合规要求，为金融科技应用在业务服务，开展风险管理活动，带来了多样性、复杂性的特点。

多样性方面， 不同国家、地区，对于网络安全监管形式表现不一，比如新加坡金融管理局，对保险机构提出了详细的科技风险管理要求，网络安全作为其中的一部分，每年要求提供相应材料上报；香港保监局则相对宽松，自成立以来，发布了《网络安全指引》，除了举办相关网络安全介绍会外，尚未开展实质性工作推动和检查；澳门同内地相近，颁布了《网络安全法》，实行类似内地等级保护的模式，金融管理局通过高频的举措，推动企业落实等级保护的要求。

复杂性方面，不同国家、地区，对网络安全划分的管理领域，细则要求不尽相同，比如，香港保监局的《网络安全指引》主要从网络安全政策、人员培训测试、系统安全测试等方面提出了实践要求，并未给出具体的细则要求；并且，《网络安全指引》并非法律性文件，未对企业约定违反相关要求作出惩罚性要求。相比澳门，颁布了《网络安全法》，作为法律按要求，明确了实行等级保护要求，且提出了违反该项法律带来的惩罚措施，其惩罚力度，超过了内地《网络安全法》的力度，但是等级保护内容的相关要求，相对内地等级保护要求，较为宽松且部分内容较为细致。因此，风险管理活动如何从成本效益、落地实践考量出发，并处理好不同国家、地区监管活动带来的多样性和复杂性的特点，具有一定的挑战性。

0x02. 对风险管理的思考

前文提到，笔者在公司开展风险管理活动需要考量的要素有成本效益、落地实践及满足多样性和复杂性的合规要求。在成本效益方面， 笔者认为是企业开展风险管理活动必须考量的要素。毕竟，实施风险管理控制的成本超过了潜在风险损失，风险管理控制实施的必要性，就需要审慎评估。落地实践方面， 风险管理活动一般分为风险识别、风险评估、风险处置、风险监测等实施步骤，呈现出环节多，知识储备要求高，涉及内部组织广的特点，如何推动有效落地，亦成为笔者一项不小的挑战。最后，满足多样性和复杂性的合规要求方面， 如何化解不同国家、地区带来的不同监管力度、监管方式和范围带来的差异性，有效平衡成本效益，将是衡量风险管理活动开展成功与否的重要因素。

经过对上述内容的思考，笔者依次从处理多样性和复杂性、成本效益、落地实践出发考虑，从以下方面规划风险评估活动的规划：

1. 紧靠业务，保障核心业务合规。 由于业务涉及多个国家、地区，笔者分析了公司业务量贡献大的区域，依次排序，优先将该区域的合规要求作为风险评估活动开展的重要依据，其他次之，为设计满足成本效益的风险评估活动奠定基础，同时解决多样性和复杂性的问题。

2. 突出重点，覆盖核心、高风险系统。 公司大大小小业务系统好几十个，若完全照搬合规要求完全落实，一是个别系统价值低，风险小，二是资源浪费，往往存在控制风险成本高于系统本身创造价值的情况。因此，从核心与否、是否具有高风险属性两个维度，将业务系统进行优先级排序，确保核心的、高风险的系统必须满足风险控制要求，非核心的、低风险的系统满足必须的风险控制要求，进而降低在风险评估活动投入的成本。

3. 工具思维，简化风险评估活动。 风险评估活动开展有自评估、外部评估等形式，过程可综合运用现场访谈、资料审阅、现场检查、技术测试等方式。笔者主要考虑的问题在于如何简化评估活动？分析下来，除技术测试外，前面三种方式发起的基础为风险评估矩阵。结合过往调查问卷设计尽量选择题的思维，将风险评估矩阵进一步细化成选择题的方式，形成一个选择工具表格，尽量让被评估对象做选择题，简化评估过程，并聚焦每个风险领域突出的风险，最终确保风险评估活动的落地性。

0x03. 风险管理的执行

通过前面的思考，明确了如何解决风险管理活动的挑战，接下来，就是开展具体执行的内容：

1. 建立风险评估矩阵。 将各地网络安全法律法规、政府规章进行整合，划分控制领域，做好与合规条款的映射关系，形成风险评估矩阵。这里着重介绍两点，一是划分控制领域这块，主要借鉴了ISO27001和国内等级保护，但又有所区别，在于前述标准和实践，划分的比较细，安全策略、安全组织都是单独一个控制域，但对公司而言，安全策略、安全组织等内容，评估过程不会涉及相关部门，即使存在风险，也是一次性风险，专门独立成一个控制域，从后面风险管理运营来讲，意义不大，因此统一归为通用要求，其他频发、易发问题的控制域，则尽量拆分比较细。二是映射关系必须做好，每一项控制点，都需要映射好合规要求，一方面是应对评估对象管控要求的依据和监管单位的疑问解答，另外一方面是后续风险分析可以综合判断风险的大小。

2. 开展风险评估。 这部分选取了外部评估的形式，主要有两点考虑，一是人力资源不足，二是公司首次开展网络安全风险评估，评估对象对这项活动需要更多的了解，才能更好的配合。评估过程就与国标风险评估的标准过程就差异性不大，安排关键人员访谈、资料审阅、现场检查、技术测试等。

3.风险评估报告。 这是整个风险评估活动最重要的部分，毕竟，风险评估活动的成功与否，最终是通过报告呈现给管理层，管理层认可，可以获取更多的资源投入。这里着重介绍几点体会，一是报告的结构。 既然是为发现风险，化解风险开展的活动，那么报告首先肯定要体现项目发现风险的情况，从总到分依次快速介绍，很多评估公司的报告模板就是一开始背景一大段，依据一大段，评估方法一大段，整份报告一开始好几页都在讲管理层不关心，所以这些都调整为附录性介绍，报上上来就直接呈现项目价值，告诉管理层，这就是我们所面临的风险。二是风险问题的描述要准确到位。 这里的一个基本原则是问题描述的边界、定义要清晰，让管理层更加容易的理解问题影响的范围和严重性，有助于管理层提升对问题的认可和风险的把握判断，对于执行项目的你来讲，也更容易得到认可和获得资源。三是风险处置措施必须紧跟风险问题。 有个经验，有个风险问题提了很久一直获取不到资源解决，通过风险问题揭示之后，管理层看了处置措施，当场指派了人员会后开展整改。个人理解是风险处置措施主要的资源为人力资源和资金资源，人力资源方面建议着重描述相关方需要做啥，怎么做，做到什么程度；资金资源方面建议先预估一个资金投入范围，这样，管理层亦有个预估处置风险或接受风险。

from：www.freebuf.com