了解您的風險
如今,已認可安全及防護風險之間的連結為防護及安全的標準。網路安全標準ISA/IEC 62443-1-1提到,防護漏洞的後果可能不只是資訊外洩而已。該標準指出:「潛在的生命或生產損失、環境破壞、違反法規及危及操作安全是更嚴重的後果。 這些後果可能超出目標組織的預期;可能嚴重損害所在地區或國家的基礎設施。」
功能安全標準IEC 61508-1規定,與設備及控制系統相關的危險必須在所有合理可預見的情况下確定。這項標準規定:「這應包括所有相關的人為因素問題,並應特別注意異常或不常見的EUC操作模式。若危害分析確定構成安全威脅的惡意或未經授權的行為是可合理預見的,則應進行防護威脅分析。」
與安全性一樣,防護是基於管理風險的問題解決方式,利用持續性評估及基準來確保管理達到風險閾值。您可接受的風險等級將因產業及潛在結果而異。
考量到大多數網路安全攻擊都是只是因為攻擊者找到脆弱的目標,而不是以產業或知名度而鎖定特定目標,因此網路安全攻擊在幾乎所有產業都是實際可預見的情况。評估您的網路安全風險、確定您的可接受風險等級,並將已確定的風險降到可接受的等級,是目前基本的「合理」步驟,可幫助保護人們免於可預見的濫用及惡意或未經授權的行為。
與安全性一樣,忽視網路安全及相關風險,認為「如果我不知道有風險,我就不用對它負責。」是錯誤的觀念。這是無法接受的態度,無論在道德上還是出於合規目的,尤其是危及生命安全的時候。
