為您推薦
每家公司的安全之旅都是獨一無二的。可能影響您的目標安全設定檔的因素包括操作風險、獨特的運作工作流程、政策、程式、風險容忍度等。
遺憾的是,要做到 100% 無風險是不可能的。目標應該是根據您獨特的運作環境建立一個可容忍的風險水準。
提升您的工業資安實力或態勢的旅程可能看起來很複雜,但有充分的理由。由於市場上有許多不同的方法、行業標準和可用技術,前進的道路可能並不明確。您可能想知道:"我們從哪裡開始?"
開始這一旅程的一種方法是使用安全評估。安全評估最簡單的形式是對系統或組織安全態勢的結構化度量。
如果使用得當,評估可以成為一種極其有效的方法,能夠評估您當前的安全態勢、確定當前狀態與理想目標狀態之間的缺口,並制定實現目標安全態勢的明確步驟。
評估類型
「安全評估」一詞可以有許多不同的含義,因此,根據計劃的意圖適當地確定評估範圍非常重要。最常見的評估類型可能會產生不同的結果,這些結果可能會影響您在安全計劃中採取的步驟。
- 弱點評估:識別環境中存在的已知弱點,以便制定行動計劃來糾正它們。
- 缺口分析:確定組織現有安全態勢與其安全態勢的理想目標狀態之間的缺口。缺口分析通常考慮公司或行業標準,旨在明確定義實現所需目標安全態勢所需的步驟。
- 風險評估:提供更全面的組織安全態勢視圖。風險評估結合了弱點評估和缺口評估的要素,以根據組織的風險容忍度及其理想的安全態勢識別和評估已知風險。
- 安全稽核:這種基於評估的服務根據給定的行業標準或要求機構稽核組織的安全態勢和實務,通常有助於確保合規性,例如 NERC-CIP 或其他標準。
請記住,雖然以上是常見的安全評估類型,但在做出選擇之前先了解預期目標非常重要。這對於協助確保適當的期望保持一致並得到滿足至關重要,並且選擇最有效的評估來推進您的網路資安計劃。
面對現實
在考慮哪種類型的評估適合您的組織時,請記住評估是某個時間點的快照。它不應被視為組織安全計劃的唯一解決方案。相反,它就像定期檢查,以確認維護、管理和技術控制是否適合您的預期風險容忍度。
如果您正在處理有限的預算和有限的資源,並且無法在整個組織中進行評估,您可能需要採用「代表性樣本」方法,將評估範圍縮小到組織中可以提供基線的部分。
全面整合
安全評估可以成為評估您當前安全態勢的有效工具,但必須正確選擇、確定範圍,並與可執行的路線圖配合使用,該路線圖列出了實現目標安全設定檔的明確、可執行的步驟。合適的提供商可以協助您進行評估並構建強大的安全計劃。
已發佈 2019年4月29日
