400-888-5228

CRISC是一款全球頂級(jí)IT從業(yè)資格認(rèn)證。CRISC主要針對(duì)具有IT風(fēng)險(xiǎn)管理以及IS控制設(shè)計(jì)、實(shí)施、監(jiān)督和維護(hù)經(jīng)驗(yàn)的人員而設(shè)計(jì),向IT專業(yè)人士提供專業(yè)知識(shí),使他們能夠識(shí)別、評(píng)估和管理IT風(fēng)險(xiǎn),同時(shí)計(jì)劃和實(shí)施控制措施和框架。它還可以幫助個(gè)人建立一種通用的語(yǔ)言,在IT部門(mén)內(nèi)部和整個(gè)組織內(nèi)就安全和系統(tǒng)控制進(jìn)行溝通。CRISC包含四大實(shí)踐域:IT風(fēng)險(xiǎn)識(shí)別、IT風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)應(yīng)對(duì)和緩解以及風(fēng)險(xiǎn)控制、監(jiān)測(cè)和報(bào)告。

  • 中文名CRISC風(fēng)險(xiǎn)和信息系統(tǒng)控制認(rèn)證
  • 英文名Certified in Risk and Information Systems Control
  • 英文簡(jiǎn)稱CRISC
  • 頒證機(jī)構(gòu)ISACA
  • 證書(shū)類別IT GRC,IT治理
  • 同類認(rèn)證CGEIT、CISA

IT風(fēng)險(xiǎn)管理,簡(jiǎn)單來(lái)說(shuō),就是一套識(shí)別、評(píng)估和控制IT風(fēng)險(xiǎn)的系統(tǒng)方法。它的目標(biāo)是確保我們的信息系統(tǒng)能夠高效、可靠、安全地運(yùn)行,同時(shí)避免因技術(shù)問(wèn)題帶來(lái)的各種風(fēng)險(xiǎn)。

今天,小艾老師就用一個(gè)小案例來(lái)給大家講講IT風(fēng)險(xiǎn)管理的那些事,看看我們?cè)撊绾我徊讲浇鉀QIT風(fēng)險(xiǎn)問(wèn)題的。

案例背景

在公司內(nèi)部,有一個(gè)用于共享和存儲(chǔ)文件的系統(tǒng),大家都在使用它交換項(xiàng)目資料、存檔重要文件。原本這個(gè)系統(tǒng)設(shè)計(jì)得還算靠譜,大家都按規(guī)則上傳、下載文件。然而,有一天,一位員工在上傳一個(gè)重要的財(cái)務(wù)報(bào)告時(shí),錯(cuò)誤地把文件放入了公共文件夾,這導(dǎo)致所有員工,包括外部人員,均能訪問(wèn)到這個(gè)敏感文件。

更糟的是,公司并沒(méi)有對(duì)文件權(quán)限做定期審查。結(jié)果,這個(gè)文件就像個(gè)“定時(shí)炸彈”,不僅員工的操作失誤,系統(tǒng)本身也存在權(quán)限配置漏洞,導(dǎo)致大量的敏感數(shù)據(jù)暴露?,F(xiàn)在,問(wèn)題不僅僅是文件泄露,更涉及到客戶信任、公司聲譽(yù)和法律責(zé)任。

IT風(fēng)險(xiǎn)管理:沒(méi)那么復(fù)雜,關(guān)鍵是及時(shí)發(fā)現(xiàn)問(wèn)題,然后采取合適的措施 -- 第1張

01?風(fēng)險(xiǎn)識(shí)別——問(wèn)題到底出在哪里?

首先,風(fēng)險(xiǎn)識(shí)別是整個(gè)IT風(fēng)險(xiǎn)管理過(guò)程的_步。想清楚:問(wèn)題到底出在哪里?如果我們不搞清楚問(wèn)題的源頭,很難采取有效的應(yīng)對(duì)措施。

在這個(gè)案例里,我們的問(wèn)題是文件共享系統(tǒng)的權(quán)限設(shè)置不當(dāng),以及員工操作失誤。敏感文件泄露,看起來(lái)就是文件上傳錯(cuò)誤,但仔細(xì)檢查后發(fā)現(xiàn),其實(shí)是由于系統(tǒng)本身的權(quán)限配置漏洞,使得文件不僅員工能訪問(wèn),外部人員也可以隨意下載查看。

這一步,我們就需要通過(guò)檢查系統(tǒng)日志、審查文件權(quán)限設(shè)置、了解漏洞的性質(zhì),找出到底是技術(shù)問(wèn)題,還是人為失誤。只有確認(rèn)了具體的風(fēng)險(xiǎn)來(lái)源,后續(xù)的分析、控制才有方向。

知識(shí)小卡片:

風(fēng)險(xiǎn)識(shí)別是風(fēng)險(xiǎn)管理的_步,它的核心是識(shí)別出可能受到威脅的信息資源或資產(chǎn),理解威脅的性質(zhì)和來(lái)源。根據(jù)CRISC框架,這一過(guò)程屬于“IT風(fēng)險(xiǎn)評(píng)估”部分的_步,涉及到對(duì)信息資源(如數(shù)據(jù)、系統(tǒng)、應(yīng)用程序等)以及可能的威脅源進(jìn)行識(shí)別。

識(shí)別目標(biāo),找出那些潛在的風(fēng)險(xiǎn)點(diǎn)、漏洞或脆弱性,進(jìn)而有效評(píng)估其可能的影響。

在實(shí)際操作中,風(fēng)險(xiǎn)識(shí)別通常通過(guò)以下幾種方式進(jìn)行:

資產(chǎn)分類與評(píng)估:對(duì)所有信息資源進(jìn)行分類(如硬件、軟件、數(shù)據(jù)等),識(shí)別其價(jià)值及重要性。
威脅建模與脆弱性掃描:根據(jù)企業(yè)的業(yè)務(wù)流程和技術(shù)架構(gòu),識(shí)別可能存在的外部和內(nèi)部威脅,如黑客攻擊、自然災(zāi)害、員工失誤等。
安全審計(jì)與檢查:通過(guò)定期的安全審計(jì),檢查系統(tǒng)的安全漏洞,例如,進(jìn)行漏洞掃描、代碼審查等。

02?風(fēng)險(xiǎn)分析與評(píng)估——這個(gè)風(fēng)險(xiǎn)有多嚴(yán)重?

風(fēng)險(xiǎn)識(shí)別搞清楚了,接下來(lái)是要評(píng)估這個(gè)風(fēng)險(xiǎn)的嚴(yán)重性:這個(gè)問(wèn)題發(fā)生的可能性有多大?如果發(fā)生了,損失有多嚴(yán)重?

對(duì)于文件泄露問(wèn)題,我們可以從以下幾個(gè)角度進(jìn)行評(píng)估:

  • 影響范圍:泄露的文件是否包含敏感數(shù)據(jù)(如財(cái)務(wù)報(bào)表、客戶信息等)?如果是,影響就很大;如果是一些普通的工作文件,影響相對(duì)較小。
  • 外部風(fēng)險(xiǎn):如果黑客利用這個(gè)漏洞訪問(wèn)了敏感文件,數(shù)據(jù)泄露會(huì)帶來(lái)多大的法律、財(cái)務(wù)或聲譽(yù)損失?比如,可能會(huì)面臨法律訴訟,或是客戶流失。
  • 發(fā)生概率:這個(gè)問(wèn)題發(fā)生的概率有多高?是因?yàn)橄到y(tǒng)設(shè)計(jì)問(wèn)題,還是因?yàn)槟硞€(gè)員工的疏忽?如果系統(tǒng)本身存在嚴(yán)重漏洞,那問(wèn)題發(fā)生的概率就高,風(fēng)險(xiǎn)也更大。

通過(guò)這些評(píng)估,我們可以知道這個(gè)文件泄露問(wèn)題的嚴(yán)重性,決定需要多緊急處理,以及會(huì)面臨哪些具體的風(fēng)險(xiǎn)(比如公司聲譽(yù)、財(cái)務(wù)損失等)。

知識(shí)小卡片:

CRISC框架中,這一部分屬于“IT風(fēng)險(xiǎn)評(píng)估”領(lǐng)域,尤其是通過(guò)對(duì)業(yè)務(wù)影響的分析來(lái)評(píng)估風(fēng)險(xiǎn)的影響度。

可能性評(píng)估:通過(guò)對(duì)歷史數(shù)據(jù)、行業(yè)標(biāo)準(zhǔn)或?qū)<遗袛鄟?lái)評(píng)估特定風(fēng)險(xiǎn)發(fā)生的概率。例如,通過(guò)歷史安全事件數(shù)據(jù)分析,判斷某一類型攻擊發(fā)生的頻率。
影響評(píng)估:評(píng)估風(fēng)險(xiǎn)發(fā)生時(shí)對(duì)企業(yè)的影響,特別是對(duì)關(guān)鍵業(yè)務(wù)功能的影響。影響可以從不同的維度進(jìn)行分析,比如財(cái)務(wù)損失、品牌聲譽(yù)損害、業(yè)務(wù)中斷等。
定性與定量評(píng)估方法:使用定性方法(如風(fēng)險(xiǎn)矩陣)對(duì)風(fēng)險(xiǎn)進(jìn)行分類,并使用定量方法(如損失預(yù)估模型)進(jìn)行量化。

在這一階段,CRISC強(qiáng)調(diào)了與風(fēng)險(xiǎn)分析相關(guān)的標(biāo)準(zhǔn)和框架的使用,例如采用風(fēng)險(xiǎn)登記簿記錄所有已識(shí)別的風(fēng)險(xiǎn),并對(duì)每一個(gè)風(fēng)險(xiǎn)進(jìn)行優(yōu)先級(jí)排序。評(píng)估結(jié)果將為后續(xù)的風(fēng)險(xiǎn)應(yīng)對(duì)措施提供依據(jù)。

03?風(fēng)險(xiǎn)控制——該如何解決?

當(dāng)我們搞清楚了風(fēng)險(xiǎn)的嚴(yán)重性,接下來(lái)就要想辦法控制這個(gè)風(fēng)險(xiǎn),減少損失。常見(jiàn)的風(fēng)險(xiǎn)控制方法有三種:規(guī)避、減輕、轉(zhuǎn)移。

  • 規(guī)避風(fēng)險(xiǎn):直接換掉這個(gè)存在漏洞的文件共享系統(tǒng),采用更安全的替代方案。雖然這種方法可能需要投入更多資源,但如果系統(tǒng)設(shè)計(jì)存在重大缺陷,換掉它是_直接的解決辦法。
  • 減輕風(fēng)險(xiǎn):如果系統(tǒng)本身還可以使用,那么就需要修復(fù)權(quán)限漏洞,確保只有授權(quán)人員才能訪問(wèn)敏感文件。還可以增加加密措施,防止文件在上傳過(guò)程中被非法訪問(wèn)。
  • 轉(zhuǎn)移風(fēng)險(xiǎn):如果公司對(duì)這種問(wèn)題的處理難度較大,可以選擇將部分責(zé)任外包給專業(yè)的第三方公司進(jìn)行處理,或者為公司購(gòu)買(mǎi)數(shù)據(jù)泄露保險(xiǎn),把可能的損失轉(zhuǎn)移給保險(xiǎn)公司。

針對(duì)這個(gè)案例,_好的方法是修復(fù)權(quán)限漏洞,并加密文件。同時(shí),定期進(jìn)行安全審計(jì),確保類似的漏洞不再發(fā)生。

知識(shí)小卡片:

風(fēng)險(xiǎn)控制是基于對(duì)風(fēng)險(xiǎn)的分析與評(píng)估結(jié)果,采取具體措施來(lái)降低風(fēng)險(xiǎn)或?qū)⑵淇刂圃诳山邮芊秶鷥?nèi)。CRISC框架中的“風(fēng)險(xiǎn)應(yīng)對(duì)與報(bào)告”部分詳細(xì)說(shuō)明了如何設(shè)計(jì)和實(shí)施風(fēng)險(xiǎn)控制措施。

具體而言,企業(yè)可以選擇以下幾種應(yīng)對(duì)策略:

規(guī)避風(fēng)險(xiǎn):如果某個(gè)風(fēng)險(xiǎn)的影響過(guò)于嚴(yán)重,可以考慮通過(guò)改變計(jì)劃、流程或業(yè)務(wù)模式來(lái)避免該風(fēng)險(xiǎn)。例如,選擇不進(jìn)行某些高風(fēng)險(xiǎn)的業(yè)務(wù)活動(dòng)。
減輕風(fēng)險(xiǎn):通過(guò)技術(shù)手段或管理措施減少風(fēng)險(xiǎn)發(fā)生的概率或其影響。例如,增強(qiáng)網(wǎng)絡(luò)防御、實(shí)施數(shù)據(jù)加密、定期進(jìn)行備份等。
轉(zhuǎn)移風(fēng)險(xiǎn):通過(guò)保險(xiǎn)或外包等方式將風(fēng)險(xiǎn)轉(zhuǎn)移給第三方。例如,將某些非核心系統(tǒng)外包給專業(yè)公司,以減少自身承擔(dān)的技術(shù)風(fēng)險(xiǎn)。
接受風(fēng)險(xiǎn):對(duì)于一些低概率或低影響的風(fēng)險(xiǎn),企業(yè)可以選擇接受風(fēng)險(xiǎn),制定應(yīng)急預(yù)案來(lái)應(yīng)對(duì)突發(fā)情況。

CRISC框架在這一部分強(qiáng)調(diào)了控制設(shè)計(jì)和有效性評(píng)估。企業(yè)需要設(shè)計(jì)符合組織風(fēng)險(xiǎn)偏好的控制措施,并定期評(píng)估這些措施的有效性,確保它們能夠真正起到風(fēng)險(xiǎn)防控作用。

04?風(fēng)險(xiǎn)監(jiān)測(cè)——持續(xù)檢查,不留死角

即使我們已經(jīng)修復(fù)了漏洞,采取了控制措施,接下來(lái)還需要持續(xù)監(jiān)測(cè)。IT風(fēng)險(xiǎn)管理不是一次性任務(wù),而是一個(gè)長(zhǎng)期的過(guò)程。

比如:

  • 定期檢查文件系統(tǒng)的權(quán)限設(shè)置,確保沒(méi)有新漏洞
  • 設(shè)置實(shí)時(shí)監(jiān)控系統(tǒng),隨時(shí)關(guān)注是否有異常的訪問(wèn)行為,比如外部IP的訪問(wèn)。
  • 定期進(jìn)行安全審計(jì)漏洞掃描,確保系統(tǒng)始終處于受控狀態(tài)。

風(fēng)險(xiǎn)監(jiān)測(cè)就是讓你能夠時(shí)刻掌握系統(tǒng)狀態(tài),發(fā)現(xiàn)潛在的隱患,避免“死角”中的問(wèn)題再次爆發(fā)。

知識(shí)小卡片:

風(fēng)險(xiǎn)監(jiān)測(cè)是風(fēng)險(xiǎn)管理中的動(dòng)態(tài)過(guò)程,確??刂拼胧┰趯?shí)際環(huán)境中得以執(zhí)行,并且及時(shí)發(fā)現(xiàn)新出現(xiàn)的風(fēng)險(xiǎn)或變化。根據(jù)CRISC框架,風(fēng)險(xiǎn)監(jiān)測(cè)屬于“風(fēng)險(xiǎn)應(yīng)對(duì)與報(bào)告”部分,并涉及到“風(fēng)險(xiǎn)控制的有效性評(píng)估”及“持續(xù)監(jiān)控”。

定期檢查與評(píng)估:企業(yè)應(yīng)定期對(duì)已實(shí)施的控制措施進(jìn)行檢查,確保它們?nèi)匀挥行А@?,定期進(jìn)行滲透測(cè)試、網(wǎng)絡(luò)安全監(jiān)控等。
動(dòng)態(tài)風(fēng)險(xiǎn)識(shí)別:由于技術(shù)環(huán)境、市場(chǎng)環(huán)境和組織架構(gòu)的變化,新的風(fēng)險(xiǎn)可能會(huì)不斷出現(xiàn)。因此,企業(yè)要建立動(dòng)態(tài)監(jiān)測(cè)機(jī)制,隨時(shí)跟蹤和評(píng)估新出現(xiàn)的威脅。
早期預(yù)警系統(tǒng):通過(guò)設(shè)置關(guān)鍵風(fēng)險(xiǎn)指標(biāo)(KRI),企業(yè)可以在風(fēng)險(xiǎn)發(fā)生前就能識(shí)別到潛在的風(fēng)險(xiǎn)信號(hào),及時(shí)采取預(yù)防措施。

CRISC框架在這一環(huán)節(jié)中強(qiáng)調(diào)了“持續(xù)監(jiān)控”的必要性,企業(yè)不僅要在實(shí)施時(shí)就關(guān)注控制措施,還要在整個(gè)生命周期內(nèi)進(jìn)行持續(xù)的評(píng)估和優(yōu)化。

 

05?風(fēng)險(xiǎn)報(bào)告——信息傳遞與決策支持

_后,任何風(fēng)險(xiǎn)管理活動(dòng)都需要有一個(gè)清晰的總結(jié)和報(bào)告,尤其是向高層領(lǐng)導(dǎo)傳遞信息,幫助他們做出決策。

在報(bào)告中,你需要詳細(xì)說(shuō)明:

  • 事件發(fā)生的背景:是什么原因?qū)е挛募孤??是操作失誤,還是系統(tǒng)漏洞?
  • 影響評(píng)估:文件泄露會(huì)帶來(lái)哪些潛在風(fēng)險(xiǎn)和損失?是否需要外部賠償?
  • 采取的解決措施:你如何修復(fù)漏洞,控制風(fēng)險(xiǎn)?有沒(méi)有進(jìn)一步的改進(jìn)措施?
  • 未來(lái)防范:公司如何避免類似問(wèn)題再次發(fā)生?需要投入哪些資源加強(qiáng)安全?

通過(guò)這些報(bào)告,管理層能夠理解事件的全貌,并根據(jù)報(bào)告制定未來(lái)的風(fēng)險(xiǎn)應(yīng)對(duì)策略,比如加強(qiáng)員工培訓(xùn)、換掉不安全的系統(tǒng)、或增加資金投入改善技術(shù)架構(gòu)。

知識(shí)小卡片:

風(fēng)險(xiǎn)報(bào)告是風(fēng)險(xiǎn)管理過(guò)程中信息傳遞的重要環(huán)節(jié)。企業(yè)需要將風(fēng)險(xiǎn)識(shí)別、評(píng)估、控制和監(jiān)控的結(jié)果及時(shí)傳達(dá)給決策層,以便做出有效的決策。在CRISC框架中,風(fēng)險(xiǎn)報(bào)告涉及到“風(fēng)險(xiǎn)應(yīng)對(duì)與報(bào)告”部分,特別是“控制報(bào)告與決策支持”。

報(bào)告內(nèi)容:風(fēng)險(xiǎn)報(bào)告應(yīng)包含詳細(xì)的風(fēng)險(xiǎn)描述、風(fēng)險(xiǎn)評(píng)估結(jié)果、控制措施的實(shí)施情況、風(fēng)險(xiǎn)監(jiān)控和審計(jì)結(jié)果等。報(bào)告要精準(zhǔn)地描述風(fēng)險(xiǎn)的現(xiàn)狀以及未來(lái)可能的發(fā)展趨勢(shì)。
決策支持:高層管理人員根據(jù)這些報(bào)告做出決策。企業(yè)可能需要基于報(bào)告的內(nèi)容,調(diào)整戰(zhàn)略方向、優(yōu)化資源分配或者加強(qiáng)某些控制措施。

CRISC強(qiáng)調(diào)了報(bào)告流程標(biāo)準(zhǔn)化格式的重要性,確保信息的傳遞不受阻礙,決策層能夠及時(shí)了解風(fēng)險(xiǎn)狀況并做出合理決策。

看,IT風(fēng)險(xiǎn)管理并不像想象中那么復(fù)雜,它其實(shí)就是通過(guò)識(shí)別、分析、控制、監(jiān)測(cè)和報(bào)告這五個(gè)步驟,逐步降低風(fēng)險(xiǎn),確保公司能夠穩(wěn)健運(yùn)營(yíng)。每一步都有具體的應(yīng)對(duì)策略,關(guān)鍵是及時(shí)發(fā)現(xiàn)問(wèn)題,然后采取合適的措施。

好了,今天的分享就到這里。如果你希望了解并學(xué)習(xí)更多IT風(fēng)險(xiǎn)管理方面的知識(shí)、方法與技能,建議參加CRISC風(fēng)險(xiǎn)和信息系統(tǒng)控制認(rèn)證

發(fā)表回復(fù)

您的電子郵箱地址不會(huì)被公開(kāi)。 必填項(xiàng)已用*標(biāo)注

  • 2024-11-28 20:00
    智能財(cái)務(wù)運(yùn)營(yíng)的未來(lái)視角:RPA與AI技術(shù)的融合應(yīng)用
  • 2024-11-29 14:00
    周五課堂:如何帶團(tuán)隊(duì)?靠什么服眾?那些無(wú)處不在的“軟技能”
  • 2024-12-04 20:00
    職場(chǎng)故事:PMP與BA的協(xié)同與本地化策略
  • 2024-12-05 20:00
    職場(chǎng)故事:策劃崗如何快速學(xué)習(xí)新領(lǐng)域新知識(shí)?Get新技能√
  • 2024-12-10 20:00
    數(shù)字化轉(zhuǎn)型與TOGAF:不謀全局者,不足謀一隅,數(shù)字化轉(zhuǎn)型的“頂層設(shè)計(jì)”
  • 2024-12-12 20:00
    神秘莫測(cè):密碼學(xué)和加密解密
  • 2024-12-17 20:00
    財(cái)務(wù)運(yùn)營(yíng)智能化與數(shù)據(jù)驅(qū)動(dòng):商業(yè)智能(BI)系統(tǒng)的實(shí)施與運(yùn)用
  • 2024-12-19 20:00
    職場(chǎng)故事:項(xiàng)目管理的藝術(shù)與日常
  • 2024-12-25 20:00
    案例分析:深入探討商業(yè)分析工具的實(shí)際應(yīng)用
  • 2024-12-26 20:00
    存量數(shù)據(jù)“由亂到治”:如何解決已有數(shù)據(jù)的數(shù)據(jù)質(zhì)量問(wèn)題?
  • 更多直播講座
    小艾老師還在安排中…
查看全部 >

掃碼一鍵預(yù)約全部

查看更多 > 查看更多 >

數(shù)字化轉(zhuǎn)型8大核心認(rèn)證

  1. PMP項(xiàng)目管理認(rèn)證

    聽(tīng)
    艾威最近一期班: 針對(duì)2025年03月考試
  2. CBAP業(yè)務(wù)分析認(rèn)證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2025-01-18
  3. CBPP流程管理認(rèn)證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2025-03-15
  4. ITIL4 IT管理認(rèn)證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2025-01-18
  5. TOGAF企業(yè)架構(gòu)認(rèn)證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2025-01-18
  6. CDMP數(shù)據(jù)管理認(rèn)證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2025-02-22
  7. CISA信息安全審計(jì)師認(rèn)證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2025-03-02
  8. CISSP信息安全專家認(rèn)證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2025-02-15
近期課程安排