2007年5月31日, 迈克菲公司首席安全官Martin Carmichael博士来到北京,在2007中国信息安全年会上对安全风险管理进行了深入的阐释。
Martin Carmichael博士首先谈到作为安全部门,最重要的是和其他相关部门进行良好的合作,保证在安全实施的过程中使整个公司获得利益。如果我们不能做到这一点,就可能会遇到很多糟糕的事情,包括信息的流失、病毒的入侵以及一些服务的中止等问题。在这个过程中,人们往往会带着一种恐惧、怀疑和不确定性去购买一种单一的防护产品。但是,当人们靠对安全抱有的恐惧心理来购买安全产品的时候,就很难与公司的业务部门进行有效地结合。
迈克菲公司首席安全官Martin Carmichael博士
那么,今天的安全体系是如何建立和实施的呢?Martin Carmichael博士谈到,人们讲信息安全的时候,往往是在谈那些具体的安全产品或者是其他的虚拟和物理的产品,但是公司的CEO、首席信息官和商业合作伙伴并不一定真正了解这些安全产品。首席安全官的首要任务是要让业务部门和公司高层了解公司存在的风险是什么,挑战是什么,以及进行相关的安全管理流程和投资所能得到的回报。
完整的安全风险管理有五个步骤:
第一步:了解安全风险管理的内涵
第二步:通过技术手段识别风险
第三步:通过技术手段保障风险管理流程的持续性
第四步:明确、量化安全风险
第五步:持续管理安全风险
在了解了安全风险管理的内涵之后,就是识别和认知的阶段:了解目前全世界存在的安全威胁和挑战是什么,如何来解决这个问题?那就是进行可重复的一系列行动。在这个过程中不仅仅是解决问题,同时还需要寻找漏洞,进行补丁的管理。但是,有一些人并不遵守这样的操作,因为安全风险并不是在流程和管理的层面进行相关的单一产品的应用以及对漏洞补丁可重复的修补过程,这不是事情的结尾。我们需要以更加全面的方式走到第三个阶段,那就是进行管理的层面,也就是实施相关的策略保障风险管理流程的持续性。在做事情的过程中,应该遵守什么样的做事的规则。第四步,要进行量化的分析,对于风险进行不同的分析,以及对不同的产品、技术、流程的分析。最后要对今后的威胁进行预测,持续地管理安全风险,这是五级当中的最高级。如果做完这五步的话,确实是一个很大的挑战!
