企业安全风险管理—检测风险

0x00 前言

风险持续检测（Risk Monitoring）是发现新风险，重新评价现有风险。移除没有意义的风险，以及再将所有风险降至可容忍水平方面，不断评估控制措施的有效性和持续流程。

0x01 检测风险

1.检测风险的三个领域

• 有效性
• 变更
• 合规性

2.有效性监测

• 按照严重程度跟踪安全事故的数量
• 建立一个常设小组，定期检测已知威胁和环境这些威胁的控制措施。

威胁工作组：（Threat Working Group,TWG）

举个栗子就是比如为了防护一个东西，你设置了熔断措施，但是你需要时刻去检测熔断装置是否损坏或者是是否到了使用时间，否则会酿成大祸。

3. 变更监测

跟踪已知威胁及带来的风险，组织环境的变更可能带来新的风险。
影响风险的两个来源：

• 信息系统
• 业务

通常会成立一个变更顾问委员会（Change Advisory Board）

度量标准：

• 未经授权的变更数量
• 实施变更的平均时间
• 失败变更的数量
• 变更导致的安全事故数量

4.合规性检测

根据法律法规，政策要求的变化而更改风险控制措施。

合规性检测要求对审计结果做出相应。

5.风险报告

风险报告支持组织决策、安全治理和日常运营。通常目标群体分为：

• 高管
• 经理
• 风险所有方

5.1 高管

高管角色是制定和监督战略方向。需要关注是否可适当降低风险，或需要改变组织战略。

风险热度图：

这个图后期补充

5.2 经理

各部门经理负责管理风险，需要详细的报告。关注当前的风险以及发展趋势。
可以依赖风险管理仪盘表。

5.3风险所有方

风险所有方是负责管理单个风险的工作人员，需要详细报告的内部手中。

6.持续改进

通过定期重新评估风险，风险管理团队关于安全控制措施的绩效表现才值得信任。
持续改进（Continuous Improvement）是识别机会、缓解威胁、提高质量和减少浪费的持续努力。

7.风险成熟度建模

成熟度模型是用于确定组织持续改进工具。

级别	成熟度	特征
1	初始	风险活动是由事件触发的临时举动，且控制不力
2	可重复	具有文档化的程序，并且（大部分）得到遵守
3	定义	标识工作程序、工具和方法得到一致实施
4	管理	在风险管理及计划中使用定量的方法
5	优化	数据驱动的创新在整个组织中得到贯彻