您的关键任务数据、客户信息和人事记录是否免受网络犯罪分子、黑客甚至内部滥用或破坏的入侵？如果您确信您的数据是安全的，其他公司也有同样的感觉：

这些只是导致大量罚款和和解的高度公开攻击的例子。更何况，对品牌形象和公众认知的损害。卡巴斯基实验室的网络安全研究显示，2018年全球发生7.58亿次恶意网络攻击和安全事件，其中三分之一起源于美国。您如何保护您的业务和信息资产免受安全事件的影响？解决方案是制定战略计划，对信息安全风险管理做出承诺。

什么是信息安全风险管理？定义

信息安全风险管理(ISRM)是管理与使用信息技术相关的风险的过程。

建立您的风险管理策略

风险评估

您的风险概况包括对所有信息系统的分析和对您业务威胁的确定：

全面的IT安全评估包括数据风险、数据库安全问题分析、数据泄露的可能性、网络和物理漏洞。

风险处理

通过多种方法修复漏洞所采取的行动：

开发企业解决方案需要对企业信息系统的安全威胁进行全面分析。风险评估和风险处理是迭代过程，需要在您的业务的多个领域投入资源：人力资源、IT、法律、公共关系等。并非所有在风险评估中识别的风险都会在风险处理中得到解决。有些将被确定为可接受或低影响的风险，不需要立即制定治疗计划。您的信息安全风险评估有多个阶段需要解决。

安全风险评估的6个阶段

美国商务部国家标准与技术研究院(NIST)提供了采用风险管理框架的有用指南。该自愿框架概述了可能适用于您的业务的ISRM计划的各个阶段。

1.识别——数据风险分析

此阶段是识别您的数字资产的过程，其中可能包含各种信息：

必须根据Sarbanes-OxleyHealthcare记录控制的财务信息，要求通过应用《健康保险流通与责任法案》（HIPAA）保密

公司机密信息，例如产品开发和商业秘密

可能使员工面临身份盗窃法规等网络安全风险的人员数据

对于那些处理信用卡交易的人，符合支付卡行业数据安全标准(PCIDSS)

在此阶段，您不仅要评估数据丢失或被盗的潜在风险，还要确定要采取的步骤的优先级，以尽量减少或避免与每种数据类型相关的风险。

识别阶段的结果是了解您的主要信息安全风险，并评估您已经采取的任何控制措施以减轻这些风险。此阶段的分析揭示了以下数据安全问题：

潜在威胁——物理、环境、技术和人员相关

控制措施已经到位——安全的强密码、物理安全、技术的使用、网络访问

应该或必须保护和控制的数据资产

这包括按保密级别、合规性法规、财务风险和可接受的风险级别对安全风险管理数据进行分类。

2.保护——资产管理

这包括各种流程，从实施安全策略到安装提供高级数据风险管理功能的复杂软件。

您的实施阶段包括采用正式政策和数据安全控制。

这些控制将包括各种数据管理风险方法：

4.安全控制评估

您的企业采用的现有和新的安全控制措施都应接受定期审查。

5.信息安全系统授权

既然您已经全面了解了您的关键数据、定义了威胁并为您的安全管理流程建立了控制，那么您如何确保其有效性？

授权阶段将帮助您做出此决定：

这个授权阶段不仅要检查谁被告知，还要检查采取了哪些行动，以及采取多快的行动。当您的数据存在风险时，反应时间对于最大程度地减少数据被盗或丢失至关重要。

6.风险监控

采用信息风险管理框架对于为您的技术资产提供安全环境至关重要。

实施复杂的软件驱动的控制和警报管理系统是风险处理计划的有效部分。

持续监测和分析至关重要。网络窃贼每天都在开发攻击您的网络和数据仓库的新方法。为了跟上这种猛烈的活动，您必须定期重新访问您的报告、警报和指标。

创建有效的安全风险管理计划

击败网络犯罪分子和阻止内部威胁是一个具有挑战性的过程。为您的企业风险管理带来数据完整性和可用性对于您的员工、客户和股东来说至关重要。创建您的风险管理流程并采取战略措施，使数据安全成为开展业务的基本组成部分。

进行完整的IT安全评估和管理企业风险对于识别漏洞问题至关重要。制定全面的信息安全方法。